verfijnen
Microsoft heeft zich afgemeld voor een stuurprogramma dat rootkit-malware bevat. Ondanks dat er processen en controlepunten waren, zoals het ondertekenen van codes en het Windows Hardware Compatibility Program (WHCP) om dergelijke gebeurtenissen te voorkomen, slaagde het stuurprogramma er toch in om door te komen.
Het externe Windows-stuurprogramma, Netfilter, werd waargenomen in communicatie met Chinese command-and-control IP’s. Netfilter werd verspreid binnen de gaming-gemeenschap. Het werd voor het eerst gedetecteerd door G Data-malware-analist Karsten Hahn (en al snel verder doorgelicht door de infosec-gemeenschap in het algemeen en Bleeping Computer), die onmiddellijk de melding van de inbreuk deelde op Twitter en Microsoft op de hoogte gesteld.
☢️Netwerkfilter-rootkit die verbinding maakt met dit IP-adres in China:
hxxp://110.42.4.180:2081/uHet lijkt niet op Moriya (handtekening wordt zsm gecorrigeerd)
Bestand is ondertekend door Microsoft.#rootkit #netfilterhttps://t.co/lhvmmgHn6w
— Karsten Hahn (@struppigel) 17 juni 2021
Hoewel Microsoft bevestigde dat het inderdaad de chauffeur heeft afgemeld, er is nog geen duidelijke informatie over hoe de chauffeur het certificaat van het bedrijf heeft gehaald-ondertekeningsproces. Microsoft is momenteel bezig met onderzoek en zei dat het”een update zal delen over hoe we ons partnertoegangsbeleid, validatie en het ondertekeningsproces verfijnen om onze bescherming verder te verbeteren.”
Momenteel is er geen bewijs dat de malwareschrijvers certificaten hebben gestolen of dat de activiteit kan worden toegeschreven aan een natiestaat. Microsoft merkte ook op dat de malware een beperkte impact heeft gehad, gericht op gamers en niet op zakelijke gebruikers.”We hebben het account opgeschort en hun inzendingen beoordeeld op aanvullende tekenen van malware”, deelde Microsoft in een blogupdate.
Ondanks dat de malware weinig tot geen impact lijkt te hebben en Microsoft gretig bezig is om het probleem op te lossen en het code-ondertekeningsproces te verfijnen, heeft het incident toch het vertrouwen van gebruikers in Microsoft verstoord. De gemiddelde gebruiker is afhankelijk van deze certificaten en controlepunten om te weten of updates en nieuwe stuurprogramma’s veilig kunnen worden geïnstalleerd. Door deze onderbreking kunnen gebruikers enige tijd op hun hoede zijn voor toekomstige downloads.
via Engadget
