Schließen
Speisekarte

Rootkit-Malware im signierten Windows-Treiber gefunden

Microsoft hat erklärt, dass ein vom Windows Hardware Compatibility Program (WHCP) zertifizierter Treiber Rootkit-Malware enthält, sagt jedoch, dass die Zertifikatsinfrastruktur nicht kompromittiert wurde.

In einem Stellungnahme im Security Response Center von Microsoft veröffentlicht, bestätigt das Unternehmen, dass es den kompromittierten Treiber entdeckt und das Konto, das ihn ursprünglich übermittelt hatte, gesperrt hat. Wie von hervorgehoben Piepsender Computer, wurde dieser Vorfall wahrscheinlich durch eine Schwachstelle im Code-Signing-Prozess selbst verursacht.

Microsoft-Logo

Chesnot / Getty Images

Microsoft sagt auch, dass es keine Beweise dafür gefunden hat, dass das WHCP-Signaturzertifikat kompromittiert wurde, daher ist es unwahrscheinlich, dass jemand die Zertifizierung fälschen konnte.

Ein Rootkit ist so konzipiert, dass es seine Anwesenheit maskiert, sodass es selbst während der Ausführung schwer zu erkennen ist. In einem Rootkit versteckte Malware kann verwendet werden, um Daten zu stehlen, Berichte zu ändern, die Kontrolle über das infizierte System zu übernehmen und so weiter.

Laut Microsoft scheint die Malware des Treibers für Online-Spiele gedacht zu sein und kann die Geolokalisierung des Benutzers fälschen, damit er von überall aus spielen kann. Es kann auch dazu führen, dass sie die Konten anderer Spieler kompromittieren, indem sie Keylogger verwenden.

Laut dem Bericht des Security Response Center „beschränkt sich die Aktivität des Akteurs auf den Glücksspielsektor speziell in China“. und scheint nicht auf Unternehmensumgebungen abzuzielen." Es besagt auch, dass der Treiber manuell installiert werden muss, um Wirksam.

Benachrichtigungs-Warn-E-Mail auf einem Laptop, der Computerbildschirm zeigt Malware- oder Virenwarnungen

Sompong Lekhawattana / Getty Images

Sofern ein System nicht bereits kompromittiert wurde und einem Angreifer Administratorzugriff gewährt oder der Benutzer dies absichtlich selbst tut, besteht kein wirkliches Risiko.

Microsoft sagt auch, dass der Treiber und die zugehörigen Dateien von MS Defender for Endpoint erkannt und blockiert werden. Wenn Sie glauben, dass Sie diesen Treiber heruntergeladen oder installiert haben, können Sie im Security Response Center nach „Indicators of Compromise“ suchen Prüfbericht.