Microsoft ha firmato su un driver che contiene malware rootkit. Nonostante disponessero di processi e checkpoint—come la firma del codice e il programma di compatibilità hardware di Windows (WHCP)—in atto per impedire che tali eventi si verificassero, il driver è comunque riuscito a passare.
È stato osservato che il driver Windows di terze parti, Netfilter, comunicava con IP di comando e controllo cinesi. Netfilter è stato distribuito all'interno della comunità di gioco. È stato rilevato per la prima volta dall'analista di malware di G Data Karsten Hahn (e presto ulteriormente controllato dalla comunità infosec in generale e da Bleeping Computer), che ha immediatamente condiviso l'avviso della violazione su Twitter e ha informato Microsoft.
☢️rootkit del filtro di rete che si connette a questo IP in Cina:
hxxp://110.42.4.180:2081/uNon sembra Moriya (la firma verrà corretta al più presto)
Il file è firmato da Microsoft.#rootkit #netfilterhttps://t.co/lhvmmgHn6w
— Karsten Hahn (@struppigel) 17 giugno 2021
Sebbene Microsoft abbia confermato di aver effettivamente autorizzato il driver, non ci sono ancora informazioni chiare su come il driver ha superato il processo di firma del certificato dell'azienda. Microsoft sta attualmente indagando e ha affermato che “condividerà un aggiornamento su come stiamo perfezionando i criteri di accesso dei partner, la convalida e il processo di firma per migliorare ulteriormente le nostre protezioni”.
Attualmente, non ci sono prove che gli autori di malware abbiano rubato i certificati o che l'attività possa essere attribuita a un attore di uno stato nazionale. Microsoft ha anche notato che il malware ha avuto un impatto limitato, prendendo di mira i giocatori e non gli utenti aziendali. “Abbiamo sospeso l'account ed esaminato le loro richieste per ulteriori segni di malware,” Microsoft ha condiviso un aggiornamento del blog.
Nonostante il malware sembri avere un impatto minimo o nullo e Microsoft stia lavorando con entusiasmo per risolvere il problema e perfezionare il processo di firma del codice, l'incidente ha comunque interrotto la fiducia degli utenti in Microsoft. L'utente medio dipende da questi certificati e checkpoint per avere un modo per sapere che gli aggiornamenti e i nuovi driver sono sicuri da installare. Questa interruzione potrebbe indurre gli utenti a diffidare dei download futuri per un po' di tempo a venire.
tramite Engadget