Microsoft đã đăng xuất trên trình điều khiển có chứa phần mềm độc hại rootkit. Mặc dù có các quy trình và điểm kiểm tra — như ký mã và Chương trình tương thích phần cứng Windows (WHCP) —để ngăn những sự kiện như vậy xảy ra, trình điều khiển vẫn vượt qua được.
Trình điều khiển Windows của bên thứ ba, Netfilter, đã giao tiếp với các IP điều khiển và kiểm soát của Trung Quốc. Netfilter đã được phân phối trong cộng đồng game thủ. Nó được nhà phân tích phần mềm độc hại Karsten Hahn của G Data phát hiện lần đầu tiên (và ngay sau đó được cộng đồng infosec nói chung và Máy tính đang ngủ ), người đã chia sẻ thông báo vi phạm ngay lập tức trên Twitter và được thông báo cho Microsoft.
☢️ rootkit bộ lọc mạng kết nối với IP này ở Trung Quốc:
hxxp://110.42.4.180: 2081/uNó không giống Moriya (chữ ký sẽ được sửa càng sớm càng tốt)
Tệp được Microsoft ký. #rootkit #netfilter https://t.co/lhvmmgHn6w
-Karsten Hahn (@struppigel) ngày 17 tháng 6 năm 2021
Mặc dù Microsoft có đã xác nhận rằng họ thực sự đã đăng nhập vào trình điều khiển, vẫn chưa có thông tin rõ ràng về cách người lái xe đã thực hiện nó thông qua quá trình ký chứng chỉ của công ty. Microsoft hiện đang điều tra và cho biết họ “sẽ chia sẻ bản cập nhật về cách chúng tôi đang tinh chỉnh các chính sách truy cập đối tác, xác thực và quy trình ký kết để nâng cao hơn nữa các biện pháp bảo vệ của chúng tôi.”
Hiện tại, không có bằng chứng nào cho thấy tác giả phần mềm độc hại đã đánh cắp chứng chỉ hoặc hoạt động có thể được quy cho một tổ chức quốc gia-nhà nước. Microsoft cũng lưu ý rằng phần mềm độc hại đã có tác động hạn chế, nhắm vào các game thủ chứ không phải người dùng doanh nghiệp. “Chúng tôi đã tạm ngưng tài khoản và xem xét các nội dung gửi của họ để tìm thêm dấu hiệu của phần mềm độc hại”, Microsoft chia sẻ trong một cập nhật blog .
Mặc dù phần mềm độc hại này có vẻ như không ảnh hưởng đến mức độ ít hoặc không gây ảnh hưởng và Microsoft đang hăng hái làm việc để giải quyết vấn đề và tinh chỉnh quy trình ký mã của mình, nhưng sự cố vẫn làm gián đoạn lòng tin của người dùng đối với Microsoft. Người dùng thông thường phụ thuộc vào các chứng chỉ và trạm kiểm soát này để có cách biết rằng các bản cập nhật và trình điều khiển mới là an toàn để cài đặt. Sự gián đoạn này có thể khiến người dùng cảnh giác với các bản tải xuống trong tương lai trong một thời gian tới.
qua Engadget