CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Microsoft a autorizat un driver malițios

Microsoft a declarat că investighează un incident în care un driver autorizat de companie s-a dovedit a fi un rootkit Windows malițios.

Driverul, numit Netfilter, vizează domeniul de gaming, în special cele din țările Asiei de Est. Malware-ul permite câștigarea unor avantaje în jocuri și posibilitatea de exploata a altor jucători prin compromiterea conturilor, folosind instrumente comune cum ar fi keylogger-uri, după cum a declarat Microsoft Security Response Center (MSRC).

Microsoft a denumit programul malware Retliften, care face aluzie la Netfilter un pachet software legitim, care permite packet filtering și network address translation, adăugând că driverul malițios poate intercepta traficul de rețea, poate adăuga noi certificate de tip root, poate seta un nou server proxy și poate modifica setările internetului fără consimțământul utilizatorului.

Semnarea codului fals a fost observată de Karsten Hahn, un analist malware al companiei germane de securitate cibernetică G Data, care a împărtășit detalii suplimentare despre acest rootkit, inclusiv despre un dropper, care este utilizat pentru a implementa și instala Netfilter pe sistem.

Atacatorul a trimis driverul pentru certificare prin Windows Hardware Compatibility Program (WHCP). Compania a suspendat contul utilizat și a revizuit metodele de detecție malware. De asemenea, tehnicile folosite ale atacului au fost de tip post-exploitation, ceea ce impune ca atacatorul să fi câștigat anterior privilegii administrative, astfel încât să poată instala driverul în timpul pornirii sistemului sau să păcălească utilizatorul să o facă în numele lui.

Microsoft a declarat că domeniul securității cibernetice continuă să evolueze, pe măsură ce atacatorii găsesc metode de exploatare, subliniind că procesele legitime pot fi exploatate. Compania intenționează să își perfecționeze politicile de acces pentru parteneri, precum și procesul de validare și autorizare, pentru a îmbunătăți în continuare sistemul de  protecție.

Sursă: https://thehackernews.com/2021/06/hackers-trick-microsoft-into-signing.html

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică