Rootkit-malware gevonden in ondertekend Windows-stuurprogramma

December 02, 2021
InNieuws Internet Beveiliging

Microsoft heeft verklaard dat een door het Windows Hardware Compatibility Program (WHCP) gecertificeerd stuurprogramma rootkit-malware bleek te bevatten, maar zegt dat de certificaatinfrastructuur niet is aangetast.

In een uitspraak gepost in Microsoft's Security Response Center, bevestigt het bedrijf dat het het gecompromitteerde stuurprogramma heeft ontdekt en het account dat het oorspronkelijk heeft ingediend, heeft opgeschort. Zoals aangegeven door piepende computer, werd dit incident waarschijnlijk veroorzaakt door een zwakte in het code-ondertekeningsproces zelf.

Chesnot / Getty Images

Microsoft zegt ook dat het geen bewijs heeft gezien dat het WHCP-ondertekeningscertificaat is gecompromitteerd, dus het is onwaarschijnlijk dat iemand de certificering kon vervalsen.

Een rootkit is ontworpen om zijn aanwezigheid te maskeren, waardoor het moeilijk te detecteren is, zelfs als deze actief is. Malware verborgen in een rootkit kan worden gebruikt om gegevens te stelen, rapporten te wijzigen, controle over het geïnfecteerde systeem te krijgen, enzovoort.

Volgens Microsoft lijkt de malware van het stuurprogramma bedoeld voor gebruik bij online gaming en kan het de geolocatie van de gebruiker vervalsen, zodat hij overal kan spelen. Het kan hen ook in staat stellen de accounts van andere spelers te compromitteren door keyloggers te gebruiken.

Volgens het rapport van het Security Response Center: "De activiteit van de acteur is beperkt tot de gamingsector, specifiek in China en lijkt niet gericht te zijn op bedrijfsomgevingen." Er staat ook dat het stuurprogramma handmatig moet worden geïnstalleerd om effectief.

E-mail met waarschuwingsmelding op een laptop, het computerscherm toont malware- of viruswaarschuwingen — Sompong Lekhawattana / Getty Images

Tenzij een systeem al is gecompromitteerd en beheerderstoegang verleent aan een aanvaller, of de gebruiker het zelf expres doet, is er geen reëel risico.

Microsoft zegt ook dat het stuurprogramma en de bijbehorende bestanden worden gedetecteerd en geblokkeerd door MS Defender for Endpoint. Als u denkt dat u deze driver heeft gedownload of geïnstalleerd, kunt u "Indicators of Compromise" aanvinken in het Security Response Center verslag doen van.