İmzalı Windows Sürücüsünde Rootkit Kötü Amaçlı Yazılım Bulundu

Microsoft, Windows Donanım Uyumluluk Programı (WHCP) tarafından onaylanan bir sürücünün rootkit kötü amaçlı yazılım içerdiği tespit edildiğini, ancak sertifika altyapısının tehlikeye atılmadığını belirtti.

İçinde Beyan Microsoft'un Güvenlik Yanıt Merkezi'nde yayınlanan şirket, güvenliği ihlal edilmiş sürücüyü keşfettiğini ve başlangıçta onu gönderen hesabı askıya aldığını doğruladı. Belirtildiği gibi Bipleyen Bilgisayar, bu olaya büyük olasılıkla kod imzalama sürecindeki bir zayıflık neden oldu.

Microsoft ayrıca, WHCP imzalama sertifikasının güvenliğinin ihlal edildiğine dair hiçbir kanıt görmediğini, bu nedenle birinin sahte sertifika yapma olasılığının düşük olduğunu söylüyor.

Bir rootkit, varlığını maskelemek için tasarlanmıştır, bu da çalışırken bile tespit edilmesini zorlaştırır. Bir rootkit içinde gizlenen kötü amaçlı yazılım, verileri çalmak, raporları değiştirmek, virüslü sistemin kontrolünü ele geçirmek vb. için kullanılabilir.

Microsoft'a göre, sürücünün kötü amaçlı yazılımı çevrimiçi oyunlarda kullanılmak üzere tasarlanmış gibi görünüyor ve kullanıcının herhangi bir yerden oynamasına izin vermek için coğrafi konumunu taklit edebilir. Ayrıca, keylogger'ları kullanarak diğer oyuncuların hesaplarını tehlikeye atmalarına da izin verebilir.

Güvenlik Müdahale Merkezi raporuna göre, "Oyuncunun faaliyeti, özellikle Çin'deki oyun sektörüyle sınırlıdır. ve kurumsal ortamları hedef alıyor gibi görünmüyor." Ayrıca, sürücünün manuel olarak yüklenmesi gerektiğini belirtir. etkili.

Bir sistemin güvenliği zaten ihlal edilmemişse ve bir saldırgana yönetici erişimi vermedikçe veya kullanıcı bunu bilerek yapmıyorsa, gerçek bir risk yoktur.

Microsoft ayrıca sürücünün ve ilişkili dosyalarının MS Defender for Endpoint tarafından algılanıp engelleneceğini söylüyor. Bu sürücüyü indirmiş veya kurmuş olabileceğinizi düşünüyorsanız, Güvenlik Müdahale Merkezi'nde "Uzlaşma Göstergeleri"ni kontrol edebilirsiniz. rapor.