Microsoft a declarat că un driver certificat de Programul de compatibilitate hardware Windows (WHCP) conține programe malware rootkit, dar spune că infrastructura certificatelor nu a fost compromisă.
Într-o declarație postată în Centrul de răspuns de securitate al Microsoft, compania confirmă că a descoperit driverul compromis și a suspendat contul care l-a trimis inițial. După cum a subliniat Bleeping Computer, acest incident a fost probabil cauzat de o slăbiciune în procesul de semnare a codului în sine.
Microsoft mai spune că nu a văzut nicio dovadă că certificatul de semnare WHCP a fost compromis, așa că este puțin probabil ca cineva să fi putut falsifica certificarea.
Un rootkit este conceput pentru a-și masca prezența, făcându-l dificil de detectat chiar și în timp ce rulează. Programele malware ascunse în interiorul unui rootkit pot fi folosite pentru a fura date, a modifica rapoarte, a prelua controlul asupra sistemului infectat și așa mai departe.
Potrivit Microsoft, malware-ul șoferului pare destinat utilizării în jocurile online și poate falsifica locația geografică a utilizatorului pentru a le permite să joace de oriunde. De asemenea, îi poate permite să compromită conturile altor jucători utilizând keylogger.
Conform raportului Centrului de răspuns de securitate, „Activitatea actorului este limitată la sectorul jocurilor de noroc în special în China și nu pare să vizeze mediile de întreprindere”. De asemenea, se precizează că driverul trebuie instalat manual pentru a fi eficient.
Cu excepția cazului în care un sistem a fost deja compromis și acordând acces de administrator unui atacator sau utilizatorul însuși o face intenționat, nu există niciun risc real.
Microsoft mai spune că driverul și fișierele asociate acestuia vor fi detectate și blocate de MS Defender pentru Endpoint. Dacă credeți că ați descărcat sau instalat acest driver, puteți verifica „Indicatori de compromis” în raportul Centrului de răspuns de securitate.