V podepsaném ovladači Windows byl nalezen malware rootkit

Společnost Microsoft uvedla, že bylo zjištěno, že ovladač certifikovaný programem Windows Hardware Compatibility Program (WHCP) obsahuje malware rootkit, ale tvrdí, že infrastruktura certifikátů nebyla ohrožena.

V tvrzení zveřejněném v Microsoft Security Response Center, společnost potvrzuje, že objevila kompromitovaný ovladač a pozastavila účet, který jej původně odeslal. Jak podotkl Pípavý počítačTento incident byl pravděpodobně způsoben nedostatkem samotného procesu podepisování kódu.

Microsoft také říká, že neviděl žádné důkazy, že by podpisový certifikát WHCP byl kompromitován, takže je nepravděpodobné, že by někdo dokázal certifikaci zfalšovat.

Rootkit je navržen tak, aby maskoval jeho přítomnost, takže je obtížné jej detekovat, i když je spuštěn. Malware skrytý uvnitř rootkitu lze použít ke krádeži dat, změně zpráv, převzetí kontroly nad infikovaným systémem a tak dále.

Podle Microsoftu se zdá, že malware ovladače je určen k použití s ​​online hraním a může podvrhnout geolokaci uživatele, aby mohl hrát odkudkoli. Může jim také umožnit kompromitovat účty ostatních hráčů pomocí keyloggerů.

Podle zprávy Security Response Center: „Aktivita herce je omezena na herní sektor konkrétně v Číně a nezdá se, že by cílil na podniková prostředí." Také uvádí, že ovladač musí být nainstalován ručně efektivní.

Pokud již nedošlo ke kompromitaci systému a udělení administrátorského přístupu útočníkovi, nebo pokud to uživatel sám neudělá schválně, neexistuje žádné skutečné riziko.

Microsoft také říká, že ovladač a jeho přidružené soubory budou detekovány a zablokovány aplikací MS Defender for Endpoint. Pokud si myslíte, že jste si tento ovladač stáhli nebo nainstalovali, můžete zkontrolovat „Indicators of Compromise“ v Centru odpovědí na zabezpečení zpráva.