Offenbar dienen die Zertifikate dazu, Hardware-Treiber zu signieren, um das Laden über Windows ohne Beanstandung zu realisieren. Denn: Die 64-Bit-Versionen fordern für alle Kernel-Erweiterungen eine digitale Signatur des Herstellers. Entsprechend können mit den geleakten Zertifikaten die höchsten Rechte auf ein System erlangt werden. Außerdem könnte Schadsoftware sich in der Theorie Rechte öffnen, in die sie Funktionen von Nvidia-Treibern missbraucht.
Die Seriennummern der gestohlenen Zertifikate lauten "43 BB 43 7D 60 98 66 28 6D D8 39 E1 D0 03 09 F5" und "14 78 1b c8 62 e8 dc 50 3a 55 93 46 f5 dc c5 18". Eine passende Yara-Regel spürt damit signierte, verdächtige Binaries auf. Gerüchteweise war das Passwort für den geheimen Schlüssel "nv1d1aRules".
Quelle: heise online Redaktion
Weiter Informationen zum Thema Business Security finden Sie hier.
