V podpísanom ovládači systému Windows sa našiel malvér rootkit

Spoločnosť Microsoft uviedla, že sa zistilo, že ovládač certifikovaný programom kompatibility hardvéru Windows (WHCP) obsahuje malvér rootkit, ale tvrdí, že infraštruktúra certifikátov nebola ohrozená.

V vyhlásenie zverejnenom v Centre bezpečnostných reakcií spoločnosti Microsoft, spoločnosť potvrdzuje, že objavila napadnutý ovládač a pozastavila účet, ktorý ho pôvodne odoslal. Ako zdôraznil Pípajúci počítač, tento incident bol pravdepodobne spôsobený slabosťou v samotnom procese podpisovania kódu.

Microsoft tiež tvrdí, že nevidel žiadne dôkazy o tom, že by bol ohrozený podpisový certifikát WHCP, takže je nepravdepodobné, že by niekto dokázal sfalšovať certifikáciu.

Rootkit je navrhnutý tak, aby maskoval jeho prítomnosť, čo sťažuje jeho detekciu, aj keď je spustený. Malvér skrytý vo vnútri rootkitu možno použiť na odcudzenie údajov, zmenu správ, prevzatie kontroly nad infikovaným systémom atď.

Podľa Microsoftu sa zdá, že malvér vodiča je určený na použitie s online hrami a môže sfalšovať geolokáciu používateľa, aby mohol hrať odkiaľkoľvek. Môže im tiež umožniť kompromitovať účty iných hráčov pomocou keyloggerov.

Podľa správy Security Response Center: „Aktivita herca je obmedzená na herný sektor konkrétne v Číne a nezdá sa, že by sa zameral na podnikové prostredia." Tiež uvádza, že ovládač musí byť nainštalovaný manuálne efektívne.

Pokiaľ už nedošlo k ohrozeniu systému a udeleniu správcovského prístupu útočníkovi, alebo ak tak neurobí sám používateľ úmyselne, neexistuje žiadne skutočné riziko.

Microsoft tiež hovorí, že ovládač a jeho pridružené súbory zistí a zablokuje MS Defender for Endpoint. Ak si myslíte, že ste si stiahli alebo nainštalovali tento ovládač, môžete skontrolovať „Indicators of Compromise“ v Centre reakcií zabezpečenia správa.