Rootkit-haittaohjelma löydetty allekirjoitetusta Windows-ohjaimesta

Microsoft on ilmoittanut, että Windows Hardware Compatibility Program (WHCP) -ohjelman sertifioima ohjain sisältää rootkit-haittaohjelmia, mutta sanoo, että varmenneinfrastruktuuri ei ole vaarantunut.

Jonkin sisällä lausunto Microsoftin Security Response Centerissä julkaistussa yhtiö vahvistaa löytäneensä vaarantuneen ohjaimen ja jäädyttäneensä sen alun perin lähettäneen tilin. Kuten huomautti Piikuva tietokone, tämä tapaus johtui todennäköisesti itse koodin allekirjoitusprosessin heikkoudesta.

Microsoft sanoo myös, ettei se ole nähnyt todisteita siitä, että WHCP-allekirjoitussertifikaatti olisi vaarantunut, joten on epätodennäköistä, että joku olisi voinut väärentää sertifikaatin.

Rootkit on suunniteltu peittämään sen läsnäolo, mikä vaikeuttaa sen havaitsemista jopa sen ollessa käynnissä. Rootkittiin piilotettuja haittaohjelmia voidaan käyttää tietojen varastamiseen, raporttien muuttamiseen, tartunnan saaneen järjestelmän hallintaan ja niin edelleen.

Microsoftin mukaan kuljettajan haittaohjelma näyttää olevan tarkoitettu käytettäväksi verkkopelaamisessa ja voi huijata käyttäjän maantieteellistä sijaintia, jotta he voivat pelata missä tahansa. Se voi myös antaa heidän vaarantaa muiden pelaajien tilit käyttämällä keyloggereita.

Security Response Centerin raportin mukaan "Näyttelijän toiminta rajoittuu pelialalle erityisesti Kiinassa eikä se näytä kohdistuvan yritysympäristöihin." Siinä todetaan myös, että ohjain on asennettava manuaalisesti, jotta se olisi tehokas.

Todellista riskiä ei ole, ellei järjestelmää ole jo vaarantunut ja järjestelmänvalvojan käyttöoikeuksia myönnetty hyökkääjälle tai käyttäjä itse tee sitä tarkoituksella.

Microsoft sanoo myös, että MS Defender for Endpoint tunnistaa ja estää ohjaimen ja siihen liittyvät tiedostot. Jos uskot, että olet ladannut tai asentanut tämän ohjaimen, voit tarkistaa "Indicators of Compromise" Security Response Centerissä. raportti.