Allkirjastatud Windowsi draiverist leiti Rootkiti pahavara

Allkirjastatud Windowsi draiverist leiti Rootkiti pahavara
Allkirjastatud Windowsi draiverist leiti Rootkiti pahavara
Anonim

Microsoft on teatanud, et Windowsi riistvara ühilduvusprogrammi (WHCP) poolt sertifitseeritud draiveris leiti juurkomplekti pahavara, kuid sertifikaadi taristut ei ohustatud.

Microsofti turvareageerimiskeskusesse postitatud avalduses kinnitab ettevõte, et avastas ohustatud draiveri ja peatas selle algselt esitanud konto. Nagu Bleeping Computer märkis, põhjustas selle intsidendi tõenäoliselt nõrkus koodi allkirjastamise protsessis endas.

Image
Image

Microsoft väidab ka, et ta pole näinud tõendeid selle kohta, et WHCP allkirjastamissertifikaat oleks rikutud, seega on ebatõenäoline, et keegi suutis sertifikaati võltsida.

Juurkomplekt on loodud selle olemasolu varjamiseks, muutes selle tuvastamise isegi töötamise ajal keeruliseks. Juurkomplekti peidetud pahavara saab kasutada andmete varastamiseks, aruannete muutmiseks, nakatunud süsteemi üle kontrolli saamiseks ja nii edasi.

Microsofti sõnul näib draiveri pahavara mõeldud kasutamiseks võrgumängudes ja võib võltsida kasutaja geograafilist asukohta, et võimaldada neil mängida kõikjal. Samuti võib see klahviloggereid kasutades lasta neil ohustada teiste mängijate kontosid.

Turvalisusreageerimiskeskuse aruande kohaselt on näitleja tegevus piiratud just Hiina mängusektoriga ega näi olevat suunatud ettevõtte keskkondadele. Samuti on selles kirjas, et draiver tuleb tõhusaks toimimiseks käsitsi installida.

Image
Image

Reaalset ohtu ei ole, kui süsteemi on juba rikutud ja see ei anna ründajale administraatorijuurdepääsu või kui kasutaja ise teeb seda meelega.

Microsoft ütleb ka, et MS Defender for Endpoint tuvastab ja blokeerib draiveri ja sellega seotud failid. Kui arvate, et olete selle draiveri alla laadinud või installinud, võite turvareageerimiskeskuse aruandes kontrollida jaotist "Kompromittoosi indikaatorid".

Soovitan: