Microsoft ออกจากระบบ บนไดรเวอร์ที่มีมัลแวร์รูทคิต แม้ว่าจะมีกระบวนการและจุดตรวจสอบ เช่น การเซ็นโค้ดและ Windows Hardware Compatibility Program (WHCP) เพื่อป้องกันไม่ให้เหตุการณ์ดังกล่าวเกิดขึ้น ไดรเวอร์ยังคงสามารถผ่านได้
โปรแกรมควบคุม Windows ของบริษัทอื่น Netfilter ถูกตรวจพบว่ากำลังสื่อสารกับ IP คำสั่งและการควบคุมของจีน Netfilter ถูกแจกจ่ายในชุมชนเกม ตรวจพบครั้งแรกโดย Karsten Hahn นักวิเคราะห์มัลแวร์ G Data (และได้รับการตรวจสอบเพิ่มเติมในไม่ช้าโดยชุมชน infosec ขนาดใหญ่และ Bleeping Computer) ซึ่งแจ้งการละเมิดทันที ทาง Twitter และแจ้งให้ Microsoft ทราบ
☢️Network filter rootkit ที่เชื่อมต่อกับ IP นี้ในจีน:
hxxp://110.42.4.180:2081/uดูไม่เหมือนโมริยะ (ลายเซ็นจะได้รับการแก้ไขโดยเร็วที่สุด)
ไฟล์ได้รับการลงนามโดย Microsoft#rootkit #netfilterhttps://t.co/lhvmmgHn6w a>
— Karsten Hahn (@struppigel) 17 มิถุนายน 2564
แม้ว่า Microsoft จะมี ยืนยันว่าได้ลงนามในไดรเวอร์แล้ว ยังไม่มีข้อมูลที่ชัดเจนเกี่ยวกับวิธีการที่คนขับดำเนินการผ่านกระบวนการลงนามใบรับรองของบริษัท ขณะนี้ Microsoft กำลังตรวจสอบและกล่าวว่า”จะแชร์ข้อมูลอัปเดตเกี่ยวกับวิธีที่เราปรับปรุงนโยบายการเข้าถึงคู่ค้า การตรวจสอบความถูกต้อง และกระบวนการลงนามเพื่อปรับปรุงการป้องกันของเราให้ดียิ่งขึ้น”
ปัจจุบันไม่มีหลักฐานว่าผู้เขียนมัลแวร์ขโมยใบรับรอง หรือกิจกรรมนั้นสามารถระบุได้ว่าเป็นผู้ดำเนินการของรัฐชาติ Microsoft ยังตั้งข้อสังเกตว่ามัลแวร์มีผลกระทบอย่างจำกัด โดยมุ่งเป้าไปที่นักเล่นเกม ไม่ใช่ผู้ใช้ระดับองค์กร “เราได้ระงับบัญชีและตรวจสอบการส่งของพวกเขาเพื่อหาสัญญาณมัลแวร์เพิ่มเติม” Microsoft แบ่งปันใน อัปเดตบล็อก.
แม้ว่ามัลแวร์จะดูเหมือนมีผลกระทบเพียงเล็กน้อยหรือไม่มีเลย และ Microsoft กำลังทำงานอย่างกระตือรือร้นเพื่อแก้ไขปัญหาและปรับปรุงกระบวนการลงนามโค้ด เหตุการณ์ดังกล่าวยังทำให้ความไว้วางใจของผู้ใช้ใน Microsoft หยุดชะงักลง ผู้ใช้โดยเฉลี่ยต้องอาศัยใบรับรองและจุดตรวจสอบเหล่านี้เพื่อให้ทราบว่าการอัปเดตและไดรเวอร์ใหม่นั้นปลอดภัยสำหรับการติดตั้ง การหยุดชะงักนี้อาจทำให้ผู้ใช้ระวังการดาวน์โหลดในอนาคตในบางครั้ง
ผ่านทาง Engadget
span>
