Rootkit-malware funnet i signert Windows-driver

Microsoft har uttalt at en driver sertifisert av Windows Hardware Compatibility Program (WHCP) ble funnet å inneholde rootkit-skadevare, men sier at sertifikatinfrastrukturen ikke ble kompromittert.

I en uttalelse publisert i Microsofts Security Response Center, bekrefter selskapet at det oppdaget den kompromitterte driveren og har suspendert kontoen som opprinnelig sendte den inn. Som påpekt av Blødende datamaskin, var denne hendelsen sannsynligvis forårsaket av en svakhet i selve kodesigneringsprosessen.

Microsoft sier også at de ikke har sett noen bevis for at WHCP-signeringssertifikatet ble kompromittert, så det er usannsynlig at noen var i stand til å forfalske sertifiseringen.

Et rootkit er designet for å maskere dets tilstedeværelse, noe som gjør det vanskelig å oppdage selv mens det kjører. Skadelig programvare gjemt inne i et rootkit kan brukes til å stjele data, endre rapporter, ta kontroll over det infiserte systemet og så videre.

Ifølge Microsoft virker driverens skadevare ment for bruk med online spill og kan forfalske brukerens geolokalisering slik at de kan spille hvor som helst. Det kan også la dem kompromittere andre spilleres kontoer ved å bruke keyloggere.

I følge Security Response Center-rapporten er "Aktørens aktivitet begrenset til spillsektoren spesifikt i Kina og ser ikke ut til å målrette mot bedriftsmiljøer." Den sier også at driveren må installeres manuelt for å være det effektive.

Med mindre et system allerede er kompromittert og gir administratortilgang til en angriper, eller brukeren selv gjør det med vilje, er det ingen reell risiko.

Microsoft sier også at driveren og dens tilknyttede filer vil bli oppdaget og blokkert av MS Defender for Endpoint. Hvis du tror du kan ha lastet ned eller installert denne driveren, kan du sjekke "Indikatorer for kompromiss" i Security Response Center rapportere.