Microsoft сертифицировала драйвер с руткитом

Теперь компания постарается выяснить, как это произошло.

Корпорация Microsoft сертифицировала драйвер для Windows с вшитым вредоносным кодом. Исследователь Картсен Хан выяснил, что в драйвере netfilter как минимум с марта 2021 года содержался руткит.

Microsoft сертифицирует любые приложения, которые работают на уровне ядра операционной системы. Предполагается, что такая сертификация гарантирует их безопасность и стабильность работы ОС; несертифицированный драйвер, к примеру, не так-то просто установить.

Изучив драйвер netfilter, Картсен обнаружил систему, перенаправляющую трафик на китайские IP-адреса и устанавливающую в Windows собственный корневой сертификат. Также исследователю удалось выяснить адреса центра управления руткитом и в целом описать принципы его работы.

Картсен сообщил о своих находках в Microsoft. Компания добавила сигнатуры драйвера в Windows Defender и запустила внутреннее расследование. Пока, пишет Картсен, Microsoft не удалось выяснить, как драйвер с руткитом прошел сертификацию.

Первые выводы расследования Microsoft таковы: руткит в netfilter, видимо, нацелен не на корпоративный, а на игровой рынок, в основном китайский. С одной стороны, драйвер позволял игроку подделывать свое местоположение, играя из любого места; с другой стороны, позволял создателя драйвера контролировать PC игроков.