Microsoft har vært i nyhetene i det siste på grunn av Windows 11-kunngjøringen 24. juni i år. Men det er ikke den eneste grunnen til at det har vært et tema for diskusjon blant folk. Det er et par andre grunner som de mange oppdateringene den har utgitt sammen med skadelig programvareinformasjon som nylig har blitt avslørt.
Microsoft Security Response Center (MSRC) har innrømmet at det godtok en driver som inkluderte en skadelig Rootkit Malware som utvekslet data med kommando-og-kontroll-servere (C2) i Kina. Det ser ut til at visse ondsinnede aktører har lurt Redmond-giganten til å signere en Netfilter Driver som er designet for å målrette mot spillmiljøer. Driveren ble brukt til å skjule geoposisjonen til spilleren og spille fra en hvilken som helst region.
Den første forekomsten av denne skadevare ble identifisert av Karsten Hahn, en malware-analytiker hos det tyske nettsikkerhetsselskapet G Data. ""Siden Windows Vista må all kode som kjører i kjernemodus være testet og signert før offentlig utgivelse for å sikre stabilitet for operativsystemet." uttalte Hahn. "Drivere uten Microsoft-sertifikat kan ikke installeres som standard," fortsatte han.
Hvordan fungerte denne skadelige programvaren?
MSRC forklarte at personer med ondsinnede hensikter brukte denne skadelige programvaren til å utnytte andre spillere og kompromittere kontolegitimasjonen deres ved å bruke en keylogger. De kunne også ha klart å hacke annen informasjon, inkludert debet-/kredittkortinformasjon og e-postadresser.
Det er interessant å merke seg at Netfilter er en legitim applikasjonspakke som lar brukere aktivere pakkefiltrering og oversette nettverk adresser. Den kan også legge til nye rotsertifikater, sette opp en ny proxy-server og hjelpe til med å endre internettinnstillinger.
Når brukerne installerte denne applikasjonen på systemet, koblet den til en C2-server for å motta konfigurasjonsinformasjon og oppdateringer. Microsoft forklarte også at teknikkene som ble brukt i angrepet skjer etter utnyttelse, noe som indikerer at motstanderen først må få administrative privilegier og deretter installere driveren under systemoppstart.
"Sikkerhetslandskapet fortsetter å utvikle seg raskt etter hvert som trusselaktører finner nye og innovative metoder for å få tilgang til miljøer på tvers av et bredt spekter av vektorer," sa MSRC.
Hahn var hovedpersonen som ble kreditert for å finne skadelig programvare, men fikk senere selskap av andre skadevareforskere, inkludert Johan n Aydinbas, Takahiro Haruyama og Florian Roth. Han var bekymret for Microsofts kodesigneringsprosess og tvilte på om det var annen skadelig programvare skjult med Microsofts godkjente driversett.
Modus Operandi of Malicious Actors
Så snart Microsoft ble informert, har de tatt alle nødvendige skritt for å undersøke hendelsen og iverksette forebyggende tiltak for å sikre at det ikke skjer igjen. Microsoft uttalte at det ikke er bevis for at de stjålne kodesigneringssertifikatene ble brukt. Personene bak denne skadevaren fulgte den legitime prosessen med å sende inn drivere til Microsofts servere og kjøpte også den Microsoft-signerte binære filen på lovlig vis.
Microsoft uttalte at driverne ble bygget av en tredjepartsutvikler og ble sendt inn for godkjenning via Windows maskinvarekompatibilitetsprogram. Etter denne hendelsen suspenderte Microsoft kontoen som sendte inn denne driveren og begynte å gjennomgå alle innsendingene fra den kontoen med høyeste prioritet.
I tillegg sa Microsoft at de vil avgrense sine retningslinjer for partnertilgang samt validering. og signeringsprosess for å forbedre beskyttelsen ytterligere.
Avgjørende poeng på Microsoft godtar pålogging av Netfilter-driver som var lastet med Rootkit MalwareMicrosoft hevder at skadevare ble bygget for å angripe spillsektoren i Kina og ser ut til å være arbeidet kun av noen få individer. Det er ingen koblinger som knytter en organisasjon eller bedrift til skadelig programvare. Imidlertid må det forstås at alle slike villedende binærfiler kan utnyttes av hvem som helst for å sette i gang et storskala programvare
angrep. Tidligere har slike angrep blitt tilrettelagt som Stuxnet-angrepet som angrep Irans atomprogram. Dette var fordi sertifikatene som ble brukt til kodesignering ble stjålet fra Realtek og JMicron.
Med Microsoft klar for lansering av Windows 11, stiller denne hendelsen tvil om sikkerheten og sikkerheten Microsoft gir med operativsystemene sine . Hva tror du? Del gjerne tankene dine i kommentarfeltet nedenfor. Følg oss på sosiale medier – .
Les: 0
