Microsoft har varit i nyheterna på sistone på grund av tillkännagivandet av Windows 11 den 24 juni i år. Men det är inte den enda anledningen till att det har varit ett ämne för diskussion bland människor. Det finns ett par andra anledningar som de många uppdateringarna som har släppts tillsammans med information om skadlig programvara som nyligen har avslöjats.
Microsoft Security Response Center (MSRC) har medgett att det accepterade en drivrutin som innehöll en skadlig Rootkit Malware som utbytte data med kommando-och-kontroll-servrar (C2) i Kina. Det verkar som om vissa illvilliga aktörer har lurat Redmond-jätten att signera en Netfilter-drivrutin som var designad för att rikta in sig på spelmiljöer. Drivrutinen användes för att dölja spelarens geolokalisering och spela från vilken region som helst.
Den första instansen av denna skadliga programvara identifierades av Karsten Hahn, en malware-analytiker på det tyska cybersäkerhetsföretaget G Data. ""Sedan Windows Vista måste all kod som körs i kärnläge testas och signeras innan offentlig release för att säkerställa stabilitet för operativsystemet." konstaterade Hahn. "Drivrutiner utan Microsoft-certifikat kan inte installeras som standard", fortsatte han.
Hur fungerade denna skadliga programvara?
MSRC förklarade att personer med skadliga avsikter använde denna skadliga programvara för att utnyttja andra spelare och äventyra deras kontouppgifter med en keylogger. De kunde också ha lyckats hacka annan information, inklusive betal-/kreditkortsinformation och e-postadresser.
Det är intressant att notera att Netfilter är ett legitimt applikationspaket som tillåter användare att aktivera paketfiltrering och översätta nätverk adresser. Den kan också lägga till nya rotcertifikat, konfigurera en ny proxyserver och hjälpa till att ändra internetinställningar.
När användarna väl installerat den här applikationen på sitt system kopplade den till en C2-server för att ta emot konfigurationsinformation och uppdateringar. Microsoft förklarade också att teknikerna som används i attacken sker efter exploatering, vilket indikerar att motståndaren först måste få administrativa privilegier och sedan installera drivrutinen under systemstart.
"Säkerhetslandskapet fortsätter att utvecklas snabbt eftersom hotaktörer hittar nya och innovativa metoder för att få tillgång till miljöer över ett brett spektrum av vektorer”, sa MSRC.
Hahn var huvudpersonen som krediterades för att hitta skadlig programvara men fick senare sällskap av andra skadlig forskare, inklusive Johan n Aydinbas, Takahiro Haruyama och Florian Roth. Han var oroad över Microsofts kodsigneringsprocess och tvivlade på om det fanns annan skadlig programvara gömd med Microsofts godkända drivrutiner.
Modus Operandi of Malicious Actors
När Microsoft väl informerades har de vidtagit alla nödvändiga åtgärder för att undersöka incidenten och vidta förebyggande åtgärder för att säkerställa att det inte händer igen. Microsoft uppgav att det inte finns några bevis för att de stulna kodsigneringscertifikaten användes. Personerna bakom denna skadliga programvara följde den legitima processen att skicka in drivrutiner till Microsofts servrar och förvärvade även den Microsoft signerade binära filen på laglig väg.
Microsoft uppgav att drivrutinerna byggdes av en tredjepartsutvecklare och skickades in för godkännande via Windows hårdvarukompatibilitetsprogram. Efter denna incident stängde Microsoft av kontot som skickade in den här drivrutinen och började granska alla inlämningar från kontot med högsta prioritet.
Dessutom sa Microsoft att de kommer att förfina sina policyer för partneråtkomst och dess validering. och signeringsprocess för att förbättra skyddet ytterligare.
Avgörande punkter på Microsoft accepterar inloggning av Netfilter-drivrutinen som laddades med Rootkit MalwareMicrosoft hävdar att skadlig programvara byggdes för att attackera spelsektorn i Kina och verkar vara verket endast av ett fåtal individer. Det finns inga kopplingar som länkar en organisation eller ett företag med skadlig programvara. Det måste dock förstås att alla sådana vilseledande binärer kan utnyttjas av vem som helst för att initiera en storskalig programvara
attack. Tidigare har sådana attacker underlättats som Stuxnet-attacken som attackerade Irans kärnkraftsprogram. Detta berodde på att certifikaten som användes för kodsignering stals från Realtek och JMicron.
När Microsoft förbereder sig för lansering av Windows 11 ställer den här incidenten tvivel om säkerheten och säkerheten som Microsoft tillhandahåller med sina operativsystem . Vad tror du? Vänligen dela dina tankar i kommentarsfältet nedan. Följ oss på sociala medier – .
Läs: 0
