Microsoft heeft per ongeluk gamers in gevaar gebracht. Volgens beveiligingsonderzoeker Karsten Hahn heeft het bedrijf stuurprogrammasoftware ondertekend die malware bevatte. Microsoft bevestigde de bug en zei dat de malware gegevens naar Chinese servers en doelspelers stuurde. De software, Netfilter genaamd, bevatte een rootkit, maar ontsnapte op de een of andere manier aan de beveiligingsteams van Microsoft tijdens het certificeringsproces, waardoor het kon fungeren als officiële software die Windows-gebruikers kunnen vertrouwen. Het bedrijf zei dat het samenwerkt met de externe leverancier om het probleem op te lossen en de patch binnenkort aan de getroffen gebruikers zal vrijgeven, hoewel het niet zei hoeveel gebruikers werden getroffen.
☢️Netwerkfilter rootkit die verbinding maakt met dit IP-adres in China:
hxxp://110.42.4.180:2081/u
Lijkt niet op Moriya (handtekening wordt zo snel mogelijk hersteld)
Het bestand is ondertekend door Microsoft. #Rootkit #netfilterhttps://t.co/lhvmmgHn6w
— Karsten Hahn (@struppigel) 17 juni 2021
“De acteur diende de drivers in voor certificering via het Windows Hardware Compatibility Program. De controllers zijn gebouwd door een derde partij. We hebben het account opgeschort en zijn de inzendingen aan het beoordelen op aanvullende tekenen van malware”, aldus het bedrijf in een blogpost.
Het Windows Hardware Compatibility Program (WHCP) is ontworpen om stuurprogrammasoftware die door derden is gemaakt, te verifiëren. Omdat Windows met tal van hardwareapparaten moet werken, moeten fabrikanten stuurprogramma’s maken zodat het besturingssysteem met de hardware kan communiceren. En aangezien dergelijke interactie toegang tot interne lagen in Windows vereist, kan de malware die in zo’n tool is ingebed ernstige gevolgen hebben.
Rootkits zijn over het algemeen ontworpen om invasief te zijn. Ze geven de aanvaller ongekende en ongeautoriseerde toegang tot het apparaat van een gebruiker. Volgens Microsoft stelt de malware aanvallers in staat om “een voordeel te behalen in games” en mogelijk andere gamers uit te buiten door “hun accounts in gevaar te brengen via algemene tools zoals keyloggers”. Dat lijkt veel op malware die is ontworpen om game-items van spelers te stelen en de resultaten aan te passen.
“Het is belangrijk om te begrijpen dat de technieken die bij deze aanval worden gebruikt, plaatsvinden na de exploitatie, wat betekent dat een aanvaller beheerdersrechten moet hebben verkregen om het installatieprogramma uit te voeren om het register bij te werken en de kwaadaardige driver te installeren de volgende keer dat het systeem opstart. . of de gebruiker overtuigen om dit namens hen te doen”, aldus het bedrijf in zijn post.
Microsoft bevestigde ook dat zijn WHCP-infrastructuur niet is aangetast, maar het bedrijf zal het toch van naderbij bekijken.
Bedankt voor het lezen tot het einde van dit artikel. Voor meer informatieve en exclusieve technische inhoud, zoals onze Facebook-pagina
