Rootkit-malware gevonden in ondertekend Windows-stuurprogramma

Rootkit-malware gevonden in ondertekend Windows-stuurprogramma
Rootkit-malware gevonden in ondertekend Windows-stuurprogramma
Anonim

Microsoft heeft verklaard dat een door het Windows Hardware Compatibility Program (WHCP) gecertificeerd stuurprogramma rootkit-malware bevat, maar zegt dat de certificaatinfrastructuur niet is aangetast.

In een verklaring die is geplaatst in het Security Response Center van Microsoft, bevestigt het bedrijf dat het de gecompromitteerde driver heeft ontdekt en het account heeft opgeschort dat het oorspronkelijk heeft ingediend. Zoals Bleeping Computer aangaf, werd dit incident waarschijnlijk veroorzaakt door een zwakte in het code-ondertekeningsproces zelf.

Image
Image

Microsoft zegt ook dat het geen bewijs heeft gezien dat het WHCP-ondertekeningscertificaat is gecompromitteerd, dus het is onwaarschijnlijk dat iemand de certificering kon vervalsen.

Een rootkit is ontworpen om zijn aanwezigheid te maskeren, waardoor het moeilijk te detecteren is, zelfs als deze actief is. Malware verborgen in een rootkit kan worden gebruikt om gegevens te stelen, rapporten te wijzigen, controle over het geïnfecteerde systeem te krijgen, enzovoort.

Volgens Microsoft lijkt de malware van het stuurprogramma bedoeld voor gebruik bij online gaming en kan het de geolocatie van de gebruiker vervalsen zodat ze overal kunnen spelen. Het kan hen ook in staat stellen de accounts van andere spelers te compromitteren door keyloggers te gebruiken.

Volgens het rapport van het Security Response Center: "De activiteit van de acteur is beperkt tot de gamingsector, specifiek in China en lijkt niet gericht te zijn op bedrijfsomgevingen." Het stelt ook dat het stuurprogramma handmatig moet worden geïnstalleerd om effectief te zijn.

Image
Image

Tenzij er al een systeem is gecompromitteerd en beheerders toegang verlenen aan een aanvaller, of de gebruiker het met opzet doet, is er geen echt risico.

Microsoft zegt ook dat het stuurprogramma en de bijbehorende bestanden worden gedetecteerd en geblokkeerd door MS Defender for Endpoint. Als u denkt dat u deze driver heeft gedownload of geïnstalleerd, kunt u "Indicators of Compromise" aanvinken in het Security Response Center-rapport.

Aanbevolen: