Po zatwierdzeniu złośliwego oprogramowania typu rootkit firma Microsoft udoskonali proces podpisywania kodu
Różne Fotografia/Shutterstock.com
Microsoft wylogował się ze sterownika, który zawiera złośliwe oprogramowanie typu rootkit. Pomimo istnienia procesów i punktów kontrolnych — takich jak podpisywanie kodu i program zgodności sprzętu systemu Windows (WHCP) — aby zapobiec takim zdarzeniom, sterownikowi udało się przejść.
Zaobserwowano, że sterownik systemu Windows innej firmy, Netfilter, komunikuje się z chińskimi adresami IP typu command-and-control. Netfilter był dystrybuowany w społeczności graczy. Po raz pierwszy został wykryty przez analityka złośliwego oprogramowania G Data, Karstena Hahna (a niedługo potem przez społeczność infosec i Bleeping Computer ), który natychmiast powiadomił o włamaniu na Twitterze i powiadomił Microsoft.
Chociaż Microsoft potwierdził, że rzeczywiście wylogował się ze sterownika, nie ma jeszcze jasnych informacji na temat tego, w jaki sposób sterownik przeszedł przez proces podpisywania certyfikatu firmy. Firma Microsoft prowadzi obecnie dochodzenie i powiedziała, że „udostępni aktualizację na temat tego, w jaki sposób udoskonalamy zasady dostępu naszych partnerów, walidację i proces podpisywania, aby jeszcze bardziej zwiększyć nasze zabezpieczenia".
Obecnie nie ma dowodów na to, że twórcy szkodliwego oprogramowania ukradli certyfikaty lub że aktywność tę można przypisać podmiotowi działającemu w państwie narodowym. Microsoft zauważył również, że szkodliwe oprogramowanie ma ograniczony wpływ, atakując graczy, a nie użytkowników korporacyjnych. „Zawiesiliśmy konto i sprawdziliśmy ich zgłoszenia pod kątem dodatkowych oznak złośliwego oprogramowania” — udostępnił Microsoft w aktualizacji bloga.
Pomimo tego, że złośliwe oprogramowanie wydaje się mieć niewielki lub żaden wpływ, a Microsoft niecierpliwie pracuje nad rozwiązaniem problemu i udoskonaleniem procesu podpisywania kodu, incydent ten podważył zaufanie użytkowników do firmy Microsoft. Przeciętny użytkownik polega na tych certyfikatach i punktach kontrolnych, aby wiedzieć, że aktualizacje i nowe sterowniki można bezpiecznie zainstalować. To zakłócenie może sprawić, że użytkownicy będą przez jakiś czas obawiać się przyszłych pobrań.
przez Engadget