Microsoft hat angegeben, dass ein vom Windows Hardware Compatibility Program (WHCP) zertifizierter Treiber Rootkit-Malware enthält, sagt aber, dass die Zertifikatinfrastruktur nicht kompromittiert wurde.
In einer Erklärung, die im Security Response Center von Microsoft veröffentlicht wurde, bestätigt das Unternehmen, dass es den kompromittierten Treiber entdeckt und das Konto, das ihn ursprünglich eingereicht hat, gesperrt hat. Wie von Bleeping Computer darauf hingewiesen, wurde dieser Vorfall wahrscheinlich durch eine Schwachstelle im Codesignierungsprozess selbst verursacht.
Microsoft sagt auch, dass es keine Beweise dafür gesehen hat, dass das WHCP-Signaturzertifikat kompromittiert wurde, daher ist es unwahrscheinlich, dass jemand die Zertifizierung fälschen konnte.
Ein Rootkit ist so konzipiert, dass es seine Anwesenheit verschleiert, wodurch es schwer zu erkennen ist, selbst wenn es ausgeführt wird. Malware, die in einem Rootkit versteckt ist, kann verwendet werden, um Daten zu stehlen, Berichte zu ändern, die Kontrolle über das infizierte System zu übernehmen und so weiter.
Laut Microsoft scheint die Malware des Treibers für die Verwendung mit Online-Spielen gedacht zu sein und kann die Geolokalisierung des Benutzers fälschen, um ihm zu ermöglichen, von überall aus zu spielen. Es kann ihnen auch ermöglichen, die Konten anderer Spieler zu kompromittieren, indem sie Keylogger verwenden.
Laut dem Bericht des Security Response Center „beschränkt sich die Aktivität des Akteurs auf den Glücksspielsektor speziell in China und scheint nicht auf Unternehmensumgebungen abzuzielen.“Es besagt auch, dass der Treiber manuell installiert werden muss, um wirksam zu sein.
Sofern ein System nicht bereits kompromittiert wurde und einem Angreifer Administratorzugriff gewährt, oder der Benutzer selbst dies absichtlich tut, besteht kein wirkliches Risiko.
Microsoft sagt auch, dass der Treiber und die zugehörigen Dateien von MS Defender for Endpoint erkannt und blockiert werden. Wenn Sie glauben, dass Sie diesen Treiber heruntergeladen oder installiert haben, können Sie im Bericht des Security Response Center unter "Indicators of Compromise" nachsehen.
