Após aprovar o malware de rootkit, a Microsoft refinará o processo de assinatura de código
Diversos Fotografia/Shutterstock.com
A Microsoft assinou um driver que contém malware de rootkit. Apesar de ter processos e pontos de verificação – como assinatura de código e o Programa de Compatibilidade de Hardware do Windows (WHCP) – em vigor para evitar que tais eventos aconteçam, o driver ainda conseguiu passar.
O driver do Windows de terceiros, Netfilter, foi observado se comunicando com IPs de comando e controle chineses. Netfilter foi distribuído dentro da comunidade de jogos. Ele foi detectado pela primeira vez pelo analista de malware da G Data, Karsten Hahn (e logo mais examinado pela comunidade infosec em geral e Bleeping Computer ), que imediatamente compartilhou o aviso da violação no Twitter e notificou a Microsoft.
Embora a Microsoft tenha confirmado que, de fato, assinou o driver, ainda não há informações claras sobre como o driver passou pelo processo de assinatura de certificado da empresa. A Microsoft está atualmente investigando e disse que “estará compartilhando uma atualização sobre como estamos refinando nossas políticas de acesso de parceiros, validação e processo de assinatura para aprimorar ainda mais nossas proteções".
Atualmente, não há evidências de que os criadores de malware tenham roubado certificados ou que a atividade possa ser atribuída a um ator de um estado-nação. A Microsoft também observou que o malware teve um impacto limitado, visando jogadores e não usuários corporativos. “Suspendemos a conta e analisamos seus envios em busca de sinais adicionais de malware”, compartilhou a Microsoft em uma atualização de blog.
Apesar do malware parecer ter pouco ou nenhum impacto, e a Microsoft trabalhar avidamente para resolver o problema e refinar seu processo de assinatura de código, o incidente interrompeu a confiança do usuário na Microsoft. O usuário médio depende desses certificados e pontos de verificação para saber se as atualizações e os novos drivers são seguros para instalação. Essa interrupção pode deixar os usuários cautelosos com futuros downloads por algum tempo.
via Engadget