Úgy tűnik, hogy a Microsoft nagyot hibázott, amikor egy harmadik fél által készített illesztőprogram megkapta a Microsoft által kiadott tanúsítványt. Ez a tanúsítvány tartja biztonságban a Windows felhasználókat a különböző kártevőktől.

A BleepingComputer szerint a Microsoft megerősítette, hogy aláírta a Netfiltert, egy harmadik féltől származó, a Windowshoz készült, a játékközösségben keringő rootkit malware-t tartalmazó drivert.

De mi az a rootkit?

„A rootkit egy olyan szoftver, ami lehetővé teszi a kiberbűnözőknek, hogy bármikor visszatérhessen a korábban megfertőzött számítógépre. Így lopva el a felhasználói adatokat.”

Annak ellenére ment át a Windows Hardware Compatibility Program (WHCP) programon, hogy Kínában található rosszindulatú parancs- és vezérlőszerverekhez csatlakozott, ahogyan azt Karsten Hahn biztonsági kutató napokkal korábban megállapította.

☢️Network filter rootkit that connects to this IP in China:
hxxp://110.42.4.180:2081/u

It does not look like Moriya (signature will be corrected asap)

File is signed by Microsoft.#rootkit #netfilterhttps://t.co/lhvmmgHn6w

— Karsten Hahn (@struppigel) June 17, 2021

Nem világos, hogy a rootkit hogyan jutott át a Microsoft tanúsítvány-aláírási folyamatán. Bár a vállalat közölte, hogy vizsgálja a történteket, és „finomítani” fogja az aláírási folyamatot, a partnerek hozzáférési irányelveit és az érvényesítést.

Nincs bizonyíték arra, hogy a malware írói tanúsítványokat loptak volna, és a Microsoft nem hiszi, hogy ez állami támogatású hackerek munkája lenne.

Az illesztőprogram-gyártó Ningbo Zhuo Zhi Innovation Network Technology együttműködött a Microsofttal. Hogy nekiálljanak az ismert biztonsági rések tanulmányozásában és foltozásában, beleértve az érintett hardvereket is. A felhasználók a Windows Update-en keresztül kapnak majd tiszta illesztőprogramokat.

A Microsoft szerint a csaló illesztőprogramnak korlátozott hatása volt. A játékosokat célozta meg, és nem ismert, hogy vállalati felhasználókat veszélyeztetett volna. Emellett a rootkit a Microsoft szerint csak „kihasználás után” működik – az illesztőprogram telepítéséhez már rendszergazdai szintű hozzáférést kell szerezni a számítógépen. Más szóval a Netfilter nem jelenthet veszélyt, hacsak nem teszel meg mindent azért, hogy elérd.

Ennek ellenére az eset nem teljesen megnyugtató. Sokan úgy tekintenek az aláírt illesztőprogramra, mint ami megerősíti, hogy egy illesztőprogram vagy program biztonságos. Ezek a felhasználók esetleg nem szívesen telepítenek új illesztőprogramokat időben, ha attól tartanak, hogy azokban rosszindulatú programok lehetnek, még akkor is, ha az illesztőprogramok egyenesen a gyártótól származnak.

Mit gondoltok egy ilyen hibát nem kéne hamarabb észre venni?