Microsoft сертифицировала драйвер с руткитом
Теперь компания постарается выяснить, как это произошло.
Кстати, на сайте читать удобнее
Корпорация Microsoft сертифицировала драйвер для Windows с вшитым вредоносным кодом. Исследователь Картсен Хан выяснил, что в драйвере netfilter как минимум с марта 2021 года содержался руткит.
Microsoft сертифицирует любые приложения, которые работают на уровне ядра операционной системы. Предполагается, что такая сертификация гарантирует их безопасность и стабильность работы ОС; несертифицированный драйвер, к примеру, не так-то просто установить.
Изучив драйвер netfilter, Картсен обнаружил систему, перенаправляющую трафик на китайские IP-адреса и устанавливающую в Windows собственный корневой сертификат. Также исследователю удалось выяснить адреса центра управления руткитом и в целом описать принципы его работы.
Картсен сообщил о своих находках в Microsoft. Компания добавила сигнатуры драйвера в Windows Defender и запустила внутреннее расследование. Пока, пишет Картсен, Microsoft не удалось выяснить, как драйвер с руткитом прошел сертификацию.
Первые выводы расследования Microsoft таковы: руткит в netfilter, видимо, нацелен не на корпоративный, а на игровой рынок, в основном китайский. С одной стороны, драйвер позволял игроку подделывать свое местоположение, играя из любого места; с другой стороны, позволял создателя драйвера контролировать PC игроков.
- Хакеры, взломавшие Nvidia, объявили о взломе Microsoft. Компания начала расследование
- Обзорный трейлер Кадзухи, нового героя Genshin Impact
- Инсайд: как устроены респауны и самооживление в PUBG
- Утекли исходники операционной системы Xbox — они могут помочь авторам эмуляторов
- Игры занимают много места. Microsoft надеется решить проблему с помощью ИИ