Parakstītā Windows draiverī atrasta Rootkit ļaunprātīga programmatūra

Microsoft ir paziņojusi, ka Windows Hardware Compatibility Program (WHCP) sertificētais draiveris satur rootkit ļaunprātīgu programmatūru, taču norāda, ka sertifikātu infrastruktūra nav apdraudēta.

Iekšā paziņojums, apgalvojums publicēts Microsoft drošības reaģēšanas centrā, uzņēmums apstiprina, ka ir atklājis apdraudēto draiveri un ir apturējis kontu, kurā tas sākotnēji tika iesniegts. Kā norādīja Pīkstošs dators, šo incidentu, visticamāk, izraisīja koda parakstīšanas procesa vājums.

Microsoft arī saka, ka tā nav redzējusi nekādus pierādījumus, ka WHCP parakstīšanas sertifikāts būtu apdraudēts, tāpēc maz ticams, ka kāds varētu viltot sertifikātu.

Sakņu komplekts ir paredzēts, lai maskētu tā klātbūtni, padarot to grūti noteikt pat tā darbības laikā. Ļaunprātīgu programmatūru, kas paslēpta saknes komplektā, var izmantot, lai nozagtu datus, mainītu pārskatus, pārņemtu kontroli pār inficēto sistēmu utt.

Saskaņā ar Microsoft teikto, šķiet, ka draivera ļaunprātīgā programmatūra ir paredzēta lietošanai tiešsaistes spēlēs un var viltot lietotāja ģeogrāfisko atrašanās vietu, lai ļautu viņiem spēlēt no jebkuras vietas. Tas var arī ļaut viņiem apdraudēt citu spēlētāju kontus, izmantojot taustiņu bloķētājus.

Saskaņā ar Drošības reaģēšanas centra ziņojumu: "Aktiera darbība aprobežojas ar spēļu nozari, īpaši Ķīnā. un šķiet, ka tas nav paredzēts uzņēmuma vidēm." Tas arī norāda, ka draiveris ir jāinstalē manuāli, lai tas būtu efektīvs.

Reāla riska nav, ja vien sistēma jau nav apdraudēta un uzbrucējam nav piešķirta administratora piekļuve vai lietotājs pats to nedara ar nolūku.

Microsoft arī saka, ka draiveri un ar to saistītos failus atklās un bloķēs MS Defender for Endpoint. Ja domājat, ka esat lejupielādējis vai instalējis šo draiveri, drošības reaģēšanas centrā varat pārbaudīt "Kompromisa indikatori". Ziņot.