Rootkit-malware hittades i signerad Windows-drivrutin

Microsoft har uppgett att en drivrutin certifierad av Windows Hardware Compatibility Program (WHCP) visade sig innehålla skadlig programvara från rootkit, men säger att certifikatinfrastrukturen inte äventyrades.

I en påstående publicerat i Microsofts Security Response Center, bekräftar företaget att det upptäckte den komprometterade drivrutinen och har stängt av kontot som ursprungligen skickade in den. Som påpekats av Pipande dator, orsakades denna incident sannolikt av en svaghet i själva kodsigneringsprocessen.

Microsoft säger också att de inte har sett några bevis för att WHCP-signeringscertifikatet äventyras, så det är osannolikt att någon kunde fejka certifieringen.

Ett rootkit är utformat för att maskera dess närvaro, vilket gör det svårt att upptäcka även när det är igång. Skadlig programvara gömd i ett rootkit kan användas för att stjäla data, ändra rapporter, ta kontroll över det infekterade systemet och så vidare.

Enligt Microsoft verkar förarens skadliga programvara avsedd för användning med onlinespel och kan förfalska användarens geolokalisering så att de kan spela var som helst. Det kan också låta dem äventyra andra spelares konton genom att använda keyloggers.

Enligt rapporten från Security Response Center, "Skådespelarens aktivitet är begränsad till spelsektorn specifikt i Kina och verkar inte rikta in sig på företagsmiljöer." Det står också att drivrutinen måste installeras manuellt för att vara det effektiv.

Om inte ett system redan har äventyrats och ger administratörsåtkomst till en angripare, eller om användaren själv gör det med flit, finns det ingen verklig risk.

Microsoft säger också att drivrutinen och dess associerade filer kommer att upptäckas och blockeras av MS Defender for Endpoint. Om du tror att du kan ha laddat ner eller installerat den här drivrutinen kan du kontrollera "Indikatorer för kompromiss" i Security Response Center Rapportera.