Microsoft признала, что подписала вредоносный драйвер
Microsoft по ошибке выдала сертификат безопасности драйверу Netfilter, который как оказалось, содержал руткит. Драйвер, прошедший проверку Windows Hardware Compatibility Program (WHCP), какое-то время распространялся среди геймеров.
Проблему обнаружил специалист компании G Data Карстен Хан. Он заметил, что система оповещения о вредоносном ПО G Data пометила Netfilter как вредоносную программу. Хан уведомил Microsoft о проблеме, тщательно проанализировал драйвер и пришел к выводу, что он является вредоносным.
Неясно, как руткит получил сертификат Microsoft. Компания заявила, что происшествие расследуется, и что в дальнейшем процесс подписания будет совершенствоваться. Доказательств того, что сертификат для подписи кода похитили злоумышленники, нет, и Microsoft не верит, что в инциденте виноваты хакерские группировки, оплачиваемые правительствами.
Производитель драйвера, компания Ningbo Zhuo Zhi Innovation Network Technology, работает с Microsoft над изучением и исправлением уязвимости, в том числе для оборудования. Пользователи получат чистые драйверы через Центр обновления Windows.
Microsoft заявила, что вредоносный драйвер был нацелен на геймеров, особенно в Китае, и, насколько известно компании, не скомпрометировал корпоративных клиентов.
«Целью злоумышленника было использование драйвер для введения в заблуждение относительно своего местоположения, чтобы обмануть систему и играть из любого места. Вредоносная программа позволяла ему получить преимущество в играх и, возможно, использовать других игроков, взломав их аккаунты с помощью обычных инструментов, таких как кейлоггеры».
Кроме того, согласно Microsoft, для установки драйвера необходимо было войти в систему с правами администратора.