Microsoft hat einen Treiber abgemeldet, der Rootkit-Malware enthält. Obwohl Prozesse und Prüfpunkte wie Codesignatur und das Windows Hardware Compatibility Program (WHCP) vorhanden waren, um solche Ereignisse zu verhindern, konnte der Treiber dennoch passieren.
Es wurde beobachtet, dass der Windows-Treiber von Drittanbietern, Netfilter, mit chinesischen Command-and-Control-IPs kommunizierte. Netfilter wurde innerhalb der Gaming-Community verteilt. Es wurde zuerst vom G Data-Malware-Analysten Karsten Hahn entdeckt (und bald von der gesamten infosec-Community und Bleeping Computer weiter überprüft), der die Sicherheitsverletzung sofort auf Twitter teilte und Microsoft benachrichtigte.
☢️Netzwerkfilter-Rootkit, das sich mit dieser IP in China verbindet:
hxxp://110.42.4.180:2081/uEs sieht nicht aus wie Moriya (Signatur wird so schnell wie möglich korrigiert)
Datei ist von Microsoft signiert.#rootkit #netfilterhttps://t.co/lhvmmgHn6w
– Karsten Hahn (@struppigel) 17. Juni 2021
Obwohl Microsoft bestätigt hat, dass es den Treiber tatsächlich abgemeldet hat, gibt es noch keine klaren Informationen darüber, wie der Treiber den Zertifikatssignierprozess des Unternehmens durchlaufen hat. Microsoft untersucht derzeit und teilt mit, “wird ein Update darüber veröffentlichen, wie wir unsere Partnerzugriffsrichtlinien, die Validierung und den Signaturprozess verfeinern, um unseren Schutz weiter zu verbessern.”
Derzeit Es gibt keine Beweise dafür, dass die Malware-Autoren Zertifikate gestohlen haben oder dass die Aktivität einem nationalstaatlichen Akteur zugeschrieben werden kann. Microsoft stellte auch fest, dass die Malware nur begrenzte Auswirkungen hatte und auf Spieler und nicht auf Unternehmensbenutzer abzielte. “Wir haben das Konto gesperrt und die Einsendungen auf weitere Anzeichen von Malware überprüft” Microsoft teilte in einem Blog-Update mit.
Obwohl die Malware wenig bis gar keine Auswirkungen zu haben scheint und Microsoft eifrig daran arbeitet, das Problem zu lösen und seinen Code-Signing-Prozess zu verfeinern, hat der Vorfall dennoch das Vertrauen der Benutzer in Microsoft gestört. Der durchschnittliche Benutzer ist auf diese Zertifikate und Prüfpunkte angewiesen, um zu wissen, dass Updates und neue Treiber sicher installiert werden können. Diese Unterbrechung könnte dazu führen, dass Nutzer für einige Zeit vorsichtig mit zukünftigen Downloads umgehen.
über Engadget