Après avoir approuvé le Rootkit Malware, Microsoft affinera le processus de signature de code –
Microsoft signé sur un pilote contenant un malware rootkit. Malgré la mise en place de processus et de points de contrôle, tels que la signature de code et le programme de compatibilité matérielle Windows (WHCP), pour empêcher de tels événements de se produire, le pilote a quand même réussi à passer.
Le pilote Windows tiers, Netfilter, a été observé en train de communiquer avec des adresses IP chinoises de commande et de contrôle. Netfilter a été distribué au sein de la communauté des joueurs. Il a été détecté pour la première fois par l’analyste des logiciels malveillants de G Data, Karsten Hahn (et bientôt examiné par la communauté infosec dans son ensemble et Ordinateur qui bipe), qui a immédiatement partagé l’avis de la violation sur Twitter et notifié Microsoft.
☢️Rootkit de filtre réseau qui se connecte à cette IP en Chine :
hxxp://110.42.4.180:2081/uIl ne ressemble pas à Moriya (la signature sera corrigée dès que possible)
Le fichier est signé par Microsoft.#rootkit #netfilterhttps://t.co/lhvmmgHn6w
– Karsten Hahn (@struppigel) 17 juin 2021
Bien que Microsoft ait confirmé qu’il a effectivement signé le conducteur, il n’y a pas encore d’informations claires sur la façon dont le conducteur a franchi le processus de signature du certificat de l’entreprise. Microsoft enquête actuellement et a déclaré qu’il « partagera une mise à jour sur la façon dont nous affinons les politiques d’accès de nos partenaires, la validation et le processus de signature pour améliorer davantage nos protections ».
À l’heure actuelle, il n’existe aucune preuve que les auteurs de logiciels malveillants ont volé des certificats ou que l’activité puisse être attribuée à un acteur étatique. Microsoft a également noté que le malware a eu un impact limité, ciblant les joueurs et non les utilisateurs d’entreprise. « Nous avons suspendu le compte et examiné leurs soumissions à la recherche de signes supplémentaires de logiciels malveillants », a expliqué Microsoft dans un communiqué. mise à jour du blog.
Bien que le malware semble avoir peu ou pas d’impact et que Microsoft s’efforce de résoudre le problème et d’affiner son processus de signature de code, l’incident a néanmoins perturbé la confiance des utilisateurs envers Microsoft. L’utilisateur moyen dépend de ces certificats et points de contrôle pour savoir si les mises à jour et les nouveaux pilotes peuvent être installés en toute sécurité. Cette perturbation pourrait inciter les utilisateurs à se méfier des futurs téléchargements pendant un certain temps.
passant par Engagé