Je vous propose aujourd’hui une analyse approfondie d’un article publié par BleepingComputer, qui mérite quelques précisions techniques et un éclairage sur les enjeux réels pour les équipes de sécurité.
Des acteurs malveillants ont récemment été observés utilisant le service Microsoft Trusted Signing pour signer des exécutables malveillants à l’aide de certificats temporaires valides trois jours. Cette méthode leur permet de masquer l’origine malveillante de leurs payloads et de bypasser des mécanismes de sécurité, notamment Microsoft Defender SmartScreen.
Le service Trusted Signing, lancé en 2024 par Microsoft, repose sur une PKI managée émise par Microsoft lui-même. Il permet de signer des exécutables sans que le certificat ne soit transmis directement au développeur. L’objectif initial était de réduire le risque de vol de certificats et de faciliter la révocation rapide en cas d’abus. Le modèle repose sur une logique de certificats courts-termes (3 jours), avec timestamping intégré.
Mais dans la pratique, plusieurs campagnes de malware ont détourné ce mécanisme. Des chercheurs (dont MalwareHunterTeam) ont identifié des binaires malveillants signés avec des certificats émis sous l’autorité « Microsoft ID Verified CS EOC CA 01 ». Ces certificats restent valides après expiration tant qu’aucune révocation n’est effectuée.
Les campagnes identifiées incluent notamment :
- Lumma Stealer, un infostealer connu ciblant des données d’identification et des portefeuilles crypto.
- Crazy Evil Traffers, impliqué dans des activités de vol de crypto-actifs via DLLs signées.
Cette utilisation malveillante s’explique par la simplicité du processus d’enregistrement : si les entreprises doivent prouver une existence de trois ans pour obtenir une signature sous leur nom, les particuliers peuvent souscrire et signer en leur propre nom, avec une vérification allégée.
L’alternative aux certificats EV devient ici évidente pour les attaquants :
- Les certificats EV sont coûteux, parfois volés, ou nécessitent la création d’entités de façade.
- Microsoft Trusted Signing offre une voie plus directe, avec un gain immédiat de réputation SmartScreen, même avec un certificat de trois jours.
Microsoft a réagi en déclarant que ses équipes de Threat Intelligence assurent une détection continue, avec des actions de révocation et suspension de comptes dès identification des abus. Les malwares identifiés dans les enquêtes (partagés avec Microsoft) sont déjà détectés par leurs produits antimalware, selon leur réponse à BleepingComputer.
Éléments clés à retenir pour les équipes de sécurité :
- Vérifier la signature des exécutables suspects, même si celle-ci semble émaner de Microsoft.
- Mettre en place des règles de détection spécifiques sur les certificats « Microsoft ID Verified CS EOC CA 01 ».
- Intégrer le contexte de validité temporelle dans les moteurs EDR/XDR : un certificat expiré n’est pas forcément invalide tant qu’il n’est pas révoqué.
- Surveiller les campagnes utilisant Lumma, RedLine, et autres stealers dans les flux VirusTotal avec filtre sur les certificats Microsoft Trusted Signing.
📚 Sources
- Microsoft Trusted Signing service abused to code-sign malware – BleepingComputer https://www.bleepingcomputer.com/news/security/microsoft-trusted-signing-service-abused-to-code-sign-malware/
- Trusted Signing FAQ – Microsoft Documentation https://learn.microsoft.com/en-us/trusted-signing/overview
- Trusted Signing Product Page – Microsoft https://learn.microsoft.com/en-us/trusted-signing/
- VirusTotal sample – Crazy Evil Traffers campaign https://www.virustotal.com/gui/file/29a1f087d160849bb5b2b0a02038b417991cfedab8d12fd6f0c3d014e1f90506
- VirusTotal sample – Lumma Stealer campaign https://www.virustotal.com/gui/file/6af276ce04d87f254a8f0093e4d1a50c3ae9b8c3ad7b42db28d2437352cebb20
- Podcast RadioCSIRT : https://www.radiocsirt.org/podcast/votre-actu-cybersecurite-du-samedi-22-mars-2025-ep-232/
