Rootkit-malware fundet i signeret Windows-driver

Microsoft har udtalt, at en driver certificeret af Windows Hardware Compatibility Program (WHCP) blev fundet at indeholde rootkit-malware, men siger, at certifikatinfrastrukturen ikke var kompromitteret.

I en udmelding offentliggjort i Microsofts Security Response Center, bekræfter virksomheden, at det har opdaget den kompromitterede driver og har suspenderet den konto, der oprindeligt indsendte den. Som påpeget af Blødende computer, var denne hændelse sandsynligvis forårsaget af en svaghed i selve kodesigneringsprocessen.

Microsoft siger også, at det ikke har set noget bevis for, at WHCP-signeringscertifikatet blev kompromitteret, så det er usandsynligt, at nogen var i stand til at forfalske certificering.

Et rootkit er designet til at maskere dets tilstedeværelse, hvilket gør det svært at opdage, selv mens det kører. Malware skjult inde i et rootkit kan bruges til at stjæle data, ændre rapporter, tage kontrol over det inficerede system og så videre.

Ifølge Microsoft ser chaufførens malware ud til at være beregnet til brug med onlinespil og kan forfalske brugerens geoplacering for at give dem mulighed for at spille hvor som helst. Det kan også lade dem kompromittere andre spilleres konti ved at bruge keyloggere.

Ifølge Security Response Center-rapporten er "Skuespillerens aktivitet begrænset til spilsektoren specifikt i Kina og ser ikke ud til at målrette mod virksomhedsmiljøer." Den siger også, at driveren skal installeres manuelt for at være det effektiv.

Medmindre et system allerede er blevet kompromitteret og giver administratoradgang til en hacker, eller brugeren selv gør det med vilje, er der ingen reel risiko.

Microsoft siger også, at driveren og dens tilknyttede filer vil blive opdaget og blokeret af MS Defender for Endpoint. Hvis du tror, ​​du muligvis har downloadet eller installeret denne driver, kan du tjekke "Indikatorer for kompromittering" i Security Response Center rapport.