Microsoft ha fatto notizia ultimamente a causa dell'annuncio di Windows 11 avvenuto il 24 giugno di quest'anno. Ma non è l’unico motivo per cui è stato argomento di discussione tra la gente. Ci sono un paio di altri motivi, come i numerosi aggiornamenti rilasciati insieme alle informazioni sul malware rivelate di recente.
Microsoft Security Response Center (MSRC) ha ammesso di aver accettato un driver che includeva un file dannoso Rootkit Malware che scambiava dati con server di comando e controllo (C2) in Cina. Sembra che alcuni malintenzionati abbiano ingannato il colosso di Redmond facendogli firmare un driver Netfilter progettato per prendere di mira gli ambienti di gioco. Il driver è stato utilizzato per nascondere la geolocalizzazione del giocatore e giocare da qualsiasi regione.
La prima istanza di questo malware è stata identificata da Karsten Hahn, un analista di malware presso la società tedesca di sicurezza informatica G Data. “”A partire da Windows Vista, qualsiasi codice eseguito in modalità kernel deve essere testato e firmato prima del rilascio pubblico per garantire la stabilità del sistema operativo.” ha dichiarato Hahn. "I driver senza certificato Microsoft non possono essere installati per impostazione predefinita", ha continuato.
Come funzionava questo malware?
L'MSRC ha spiegato che persone con intenti dannosi hanno utilizzato questo malware per sfruttare altri giocatori e compromettere le credenziali dei loro account utilizzando un keylogger. Potrebbero anche essere riusciti a hackerare altre informazioni, comprese le informazioni sulle carte di debito/credito e gli indirizzi e-mail.
È interessante notare che Netfilter è un pacchetto applicativo legittimo che consente agli utenti di abilitare il filtraggio dei pacchetti e tradurre la rete indirizzi. Può anche aggiungere nuovi certificati root, configurare un nuovo server proxy e aiutare a modificare le impostazioni Internet.
Una volta che gli utenti hanno installato questa applicazione sul proprio sistema, si è connessa a un server C2 per ricevere le informazioni di configurazione e aggiornamenti. Microsoft ha inoltre spiegato che le tecniche impiegate nell'attacco avvengono dopo lo sfruttamento, il che significa che l'avversario deve prima ottenere i privilegi di amministratore e poi installare il driver durante l'avvio del sistema.
"Il panorama della sicurezza continua ad evolversi rapidamente man mano che gli autori delle minacce trovano metodi nuovi e innovativi per accedere agli ambienti attraverso un'ampia gamma di vettori", ha affermato MSRC.
Hahn è stata la persona principale a cui è stato attribuito il merito di aver trovato il malware, ma è stato successivamente raggiunto da altri ricercatori di malware tra cui Johan n Aydinbas, Takahiro Haruyama e Florian Roth. Era preoccupato per il processo di firma del codice di Microsoft e dubitava che ci fossero altri malware nascosti nel set di driver approvati da Microsoft.
Il modus operandi degli attori dannosi
Una volta informata, Microsoft ha adottato tutte le misure necessarie per indagare sull'incidente e adottare misure preventive per garantire che non si ripeta. Microsoft ha dichiarato che non esiste alcuna prova che siano stati utilizzati i certificati di firma del codice rubati. Le persone dietro questo malware hanno seguito il processo legittimo di invio dei driver ai server Microsoft e hanno anche acquisito legalmente il file binario firmato Microsoft.
Microsoft ha dichiarato che i driver sono stati creati da uno sviluppatore di terze parti e sono stati sottoposti per l'approvazione tramite il programma di compatibilità hardware di Windows. Dopo questo incidente, Microsoft ha sospeso l'account che aveva inviato questo driver e ha iniziato a rivedere tutti gli invii effettuati da quell'account con la massima priorità.
Inoltre, Microsoft ha affermato che perfezionerà le sue politiche di accesso dei partner e la sua convalida e il processo di firma per migliorare ulteriormente la protezione.
Punti conclusivi su Microsoft accetta di firmare il driver Netfilter caricato con Rootkit MalwareMicrosoft afferma che il malware è stato creato per attaccare il settore dei giochi in Cina e sembra essere il lavoro solo di pochi individui. Non esistono collegamenti che colleghino un'organizzazione o un'impresa al malware. Tuttavia, è necessario comprendere che chiunque può sfruttare questi file binari fuorvianti per avviare un attacco software su larga scala
. In passato, tali attacchi sono stati facilitati, come l’attacco Stuxnet che ha attaccato il programma nucleare iraniano. Ciò è dovuto al fatto che i certificati utilizzati per la firma del codice sono stati rubati da Realtek e JMicron.
Con Microsoft che si prepara al lancio di Windows 11, questo incidente fa sorgere dubbi sulla sicurezza che Microsoft fornisce con i suoi sistemi operativi . Cosa ne pensi? Per favore condividi i tuoi pensieri nella sezione commenti qui sotto. Seguici sui social media – .
leggi: 0
