Malware rootkit trovato nel driver di Windows firmato
Microsoft ha dichiarato che un driver certificato dal programma di compatibilità hardware di Windows (WHCP) è stato trovato per contenere malware rootkit, ma afferma che l'infrastruttura del certificato non è stata compromessa.
In un dichiarazione pubblicato nel Security Response Center di Microsoft, la società conferma di aver scoperto il driver compromesso e di aver sospeso l'account che lo aveva originariamente inviato. Come sottolineato da Computer che suona, questo incidente è stato probabilmente causato da un punto debole nel processo di firma del codice stesso.
Chesnot/Getty Images
Microsoft afferma inoltre di non aver riscontrato alcuna prova che il certificato di firma WHCP sia stato compromesso, quindi è improbabile che qualcuno sia stato in grado di falsificare la certificazione.
Un rootkit è progettato per mascherare la sua presenza, rendendo difficile il rilevamento anche mentre è in esecuzione. Il malware nascosto all'interno di un rootkit può essere utilizzato per rubare dati, alterare report, prendere il controllo del sistema infetto e così via.
Secondo Microsoft, il malware del driver sembra destinato all'uso con i giochi online e può falsificare la geolocalizzazione dell'utente per consentire loro di giocare da qualsiasi luogo. Potrebbe anche consentire loro di compromettere gli account di altri giocatori utilizzando i keylogger.
Secondo il rapporto del Security Response Center, "L'attività dell'attore è limitata al settore dei giochi in particolare in Cina e non sembra destinato agli ambienti aziendali." Dichiara inoltre che il driver deve essere installato manualmente per essere efficace.
Sompong Lekhawattana / Getty Images
A meno che un sistema non sia già stato compromesso e non conceda l'accesso come amministratore a un utente malintenzionato, o l'utente stesso lo faccia apposta, non vi è alcun rischio reale.
Microsoft afferma inoltre che il driver e i file associati verranno rilevati e bloccati da MS Defender for Endpoint. Se pensi di aver scaricato o installato questo driver, puoi controllare "Indicatori di compromissione" nel Security Response Center rapporto.