Rootkit Malwareを承認した後、Microsoftはコード署名プロセスを改良します

ルートキットマルウェアを含むドライバーでのMicrosoft サインオフ。このようなイベントの発生を防ぐために、コード署名やWindowsハードウェア互換性プログラム（WHCP）などのプロセスとチェックポイントが用意されているにもかかわらず、ドライバーはなんとか通過できました。

サードパーティのWindowsドライバーであるNetfilterが、中国のコマンドアンドコントロールIPと通信していることが確認されました。 Netfilterは、ゲームコミュニティ内で配布されました。これは、GDataマルウェアアナリストのKarstenHahnによって最初に検出されました（そしてすぐに、infosecコミュニティ全体および Bleeping Computer ）、違反の通知をすぐに共有した TwitterでそしてMicrosoftに通知しました。

☢️中国でこのIPに接続するネットワークフィルタールートキット：
hxxp：//110.42.4.180：2081/u

森谷のようには見えません（署名はできるだけ早く修正されます）

ファイルはMicrosoftによって署名されています。 #rootkit #netfilter https://t.co/lhvmmgHn6w

— Karsten Hahn（@struppigel） 2021年6月17日

Microsoftには実際にドライバーを承認したことを確認しました。ドライバーが会社の証明書をどのように通過したかについての明確な情報はまだありません-署名プロセス。マイクロソフトは現在調査中であり、「パートナーのアクセスポリシー、検証、および署名プロセスを改善して保護をさらに強化する方法に関する最新情報を共有する予定です」と述べています。

現在、マルウェア作成者が証明書を盗んだという証拠や、その活動が国民国家の攻撃者に起因する可能性があるという証拠はありません。マイクロソフトはまた、マルウェアの影響は限定的であり、エンタープライズユーザーではなくゲーマーを狙っていると指摘しました。 「アカウントを一時停止し、マルウェアの追加の兆候がないか提出内容を確認しました」とMicrosoftはブログの更新。

マルウェアはほとんどまたはまったく影響を与えていないようであり、Microsoftは問題の解決とコード署名プロセスの改善に熱心に取り組んでいますが、それでもこの事件はMicrosoftに対するユーザーの信頼を混乱させました。平均的なユーザーは、これらの証明書とチェックポイントに依存して、更新プログラムと新しいドライバーが安全にインストールできることを知る方法を持っています。この混乱により、ユーザーは今後しばらくの間、将来のダウンロードに警戒する可能性があります。

エンガジェット

経由