Microsoft loggade av på en drivrutin som innehåller rootkit-skadlig kod. Trots att processer och kontrollpunkter & # 8212; som kodsignering och Windows Hardware Compatibility Program (WHCP) & # 8212; var på plats för att förhindra att sådana händelser inträffade lyckades föraren fortfarande passera igenom.
Tredjeparts Windows-drivrutinen, Netfilter, observerades kommunicera med kinesiska IP-kommandon. Netfilter distribuerades inom spelgemenskapen. Det upptäcktes först av G Data-skadlig analysanalytiker Karsten Hahn (och snart ytterligare undersökt av infosec-samhället i stort och Bleeping Computer ), som omedelbart delade meddelandet om överträdelsen på Twitter och meddelade Microsoft.
☢️Nätverksfilter rootkit som ansluter till denna IP i Kina:
hxxp: //110.42.4.180: 2081/uDet ser inte ut som Moriya (signaturen kommer att korrigeras snarast)
Filen är signerad av Microsoft. # rootkit #netfilterhttps://t.co/lhvmmgHn6w
& mdash; Karsten Hahn (@struppigel) 17 juni 2021
Även om Microsoft har bekräftat att det faktiskt loggade av föraren finns det ingen tydlig information ännu om hur föraren lyckades genom företagets certifikatsigneringsprocess. Microsoft undersöker för närvarande och sa att det kommer att dela en uppdatering om hur vi förfinar våra partneråtkomstpolicyer, validering och signeringsprocessen för att ytterligare förbättra vårt skydd. & # 8221;
För närvarande, Det finns inga bevis för att skadliga författare har stulit certifikat eller att aktiviteten kan tillskrivas en nationell aktör. Microsoft noterade också att skadlig kod har haft en begränsad inverkan, och syftar till spelare och inte företagsanvändare. & # 8220; Vi har stängt av kontot och granskat deras bidrag för ytterligare tecken på skadlig kod, & # 8221; Microsoft delade i en blogguppdatering.
Trots att skadlig programvara verkar ha liten eller ingen inverkan, och Microsoft arbetar ivrigt för att lösa problemet och förfina sin kodsigneringsprocess, har händelsen ändå stört användarnas förtroende för Microsoft. Den genomsnittliga användaren beror på att dessa certifikat och kontrollpunkter har ett sätt att veta att uppdateringar och nya drivrutiner är säkra att installera. Denna störning kan göra användarna försiktiga med framtida nedladdningar under en längre tid.
via Engadget