Rootkit Malware trouvé dans le pilote Windows signé

Rootkit Malware trouvé dans le pilote Windows signé
Rootkit Malware trouvé dans le pilote Windows signé
Anonim

Microsoft a déclaré qu'un pilote certifié par le programme de compatibilité matérielle Windows (WHCP) s'est avéré contenir des logiciels malveillants rootkit, mais affirme que l'infrastructure de certificat n'a pas été compromise.

Dans une déclaration publiée dans le Security Response Center de Microsoft, la société confirme qu'elle a découvert le pilote compromis et a suspendu le compte qui l'avait initialement soumis. Comme l'a souligné Bleeping Computer, cet incident a probablement été causé par une faiblesse dans le processus de signature de code lui-même.

Image
Image

Microsoft dit également qu'il n'a vu aucune preuve que le certificat de signature WHCP a été compromis, il est donc peu probable que quelqu'un ait pu falsifier la certification.

Un rootkit est conçu pour masquer sa présence, ce qui le rend difficile à détecter même lorsqu'il est en cours d'exécution. Les logiciels malveillants cachés dans un rootkit peuvent être utilisés pour voler des données, modifier des rapports, prendre le contrôle du système infecté, etc.

Selon Microsoft, le logiciel malveillant du pilote semble destiné à être utilisé avec les jeux en ligne et peut usurper la géolocalisation de l'utilisateur pour lui permettre de jouer de n'importe où. Cela peut également leur permettre de compromettre les comptes d'autres joueurs en utilisant des enregistreurs de frappe.

Selon le rapport du Security Response Center, "l'activité de l'acteur est limitée au secteur des jeux spécifiquement en Chine et ne semble pas cibler les environnements d'entreprise." Il indique également que le pilote doit être installé manuellement pour être efficace.

Image
Image

À moins qu'un système ait déjà été compromis et accorde un accès administrateur à un attaquant, ou que l'utilisateur lui-même le fasse exprès, il n'y a pas de risque réel.

Microsoft indique également que le pilote et ses fichiers associés seront détectés et bloqués par MS Defender pour Endpoint. Si vous pensez avoir téléchargé ou installé ce pilote, vous pouvez vérifier les "Indicateurs de compromission" dans le rapport du Security Response Center.

Conseillé: