Microsoft war in letzter Zeit wegen der Ankündigung von Windows 11 am 24. Juni dieses Jahres in den Schlagzeilen. Aber das ist nicht der einzige Grund, warum es unter den Menschen für Diskussionen sorgt. Es gibt noch ein paar andere Gründe, wie zum Beispiel die vielen veröffentlichten Updates und die kürzlich enthüllten Malware-Informationen.
Microsoft Security Response Center (MSRC) hat zugegeben, dass es einen Treiber akzeptiert hat, der einen Schadcode enthielt Rootkit-Malware, die Daten mit Command-and-Control-Servern (C2) in China austauschte. Es scheint, dass bestimmte böswillige Akteure den Redmond-Riesen dazu verleitet haben, einen Netfilter-Treiber zu signieren, der auf Spieleumgebungen abzielt. Der Treiber wurde verwendet, um die Geolokalisierung des Players zu verbergen und vor jeder Region zu spielen.
Die erste Instanz dieser Malware wurde von Karsten Hahn, einem Malware-Analysten beim deutschen Cybersicherheitsunternehmen G Data, identifiziert. „Seit Windows Vista muss jeder Code, der im Kernelmodus ausgeführt wird, vor der öffentlichen Veröffentlichung getestet und signiert werden, um die Stabilität des Betriebssystems sicherzustellen.“ erklärte Hahn. „Treiber ohne Microsoft-Zertifikat können standardmäßig nicht installiert werden“, fuhr er fort.
Wie funktionierte diese Malware?
Das MSRC erklärte, dass Personen mit böswilliger Absicht diese Malware nutzten, um andere Spieler auszunutzen und deren Kontoanmeldeinformationen mithilfe eines Keyloggers zu kompromittieren. Sie hätten es auch schaffen können, andere Informationen zu hacken, darunter Debit-/Kreditkarteninformationen und E-Mail-Adressen.
Es ist interessant festzustellen, dass es sich bei Netfilter um ein legitimes Anwendungspaket handelt, das es Benutzern ermöglicht, Paketfilterung zu aktivieren und Netzwerke zu übersetzen Adressen. Es kann auch neue Stammzertifikate hinzufügen, einen neuen Proxyserver einrichten und dabei helfen, Interneteinstellungen zu ändern.
Sobald die Benutzer diese Anwendung auf ihrem System installiert hatten, stellte sie eine Verbindung zu einem C2-Server her, um die Konfigurationsinformationen zu empfangen Aktualisierung. Microsoft erklärte außerdem, dass die bei dem Angriff eingesetzten Techniken nach der Ausnutzung eingesetzt werden, was darauf hinweist, dass der Gegner zunächst Administratorrechte erlangen und dann den Treiber beim Systemstart installieren muss.
„Die Sicherheitslandschaft entwickelt sich weiterhin rasant weiter.“ Bedrohungsakteure finden neue und innovative Methoden, um über ein breites Spektrum von Vektoren hinweg Zugang zu Umgebungen zu erhalten“, sagte MSRC.
Hahn war die Hauptperson, die die Malware gefunden hat, später schlossen sich ihm aber auch andere Malware-Forscher an, darunter Johan n Aydinbas, Takahiro Haruyama und Florian Roth. Er war besorgt über den Codesignaturprozess von Microsoft und bezweifelte, dass in den von Microsoft genehmigten Treibern noch andere Malware versteckt war.
Der Modus Operandi böswilliger Akteure
Nachdem Microsoft informiert wurde, hat das Unternehmen alle erforderlichen Schritte unternommen, um den Vorfall zu untersuchen und vorbeugende Maßnahmen zu ergreifen, um sicherzustellen, dass sich dieser Vorfall nicht wiederholt. Microsoft gab an, dass es keine Beweise dafür gebe, dass die gestohlenen Code-Signing-Zertifikate verwendet wurden. Die Leute hinter dieser Malware folgten dem legitimen Prozess der Übermittlung von Treibern an die Server von Microsoft und erwarben auch die von Microsoft signierte Binärdatei legal.
Microsoft gab an, dass die Treiber von einem Drittentwickler erstellt und zur Genehmigung über eingereicht wurden das Windows-Hardwarekompatibilitätsprogramm. Nach diesem Vorfall hat Microsoft das Konto, das diesen Treiber eingereicht hat, gesperrt und begonnen, alle von diesem Konto eingereichten Beiträge mit höchster Priorität zu überprüfen.
Darüber hinaus hat Microsoft angekündigt, dass es seine Partnerzugriffsrichtlinien sowie seine Validierung verfeinern wird und Signierungsprozess, um den Schutz weiter zu verbessern.
Abschließende Punkte zu Microsoft akzeptiert die Anmeldung im Netfilter-Treiber, der mit Rootkit-Malware geladen war.Microsoft behauptet, dass die Malware zum Angriff auf den Gaming-Sektor in China entwickelt wurde und offenbar das Werk ist nur von wenigen Individuen. Es bestehen keine Verbindungen, die eine Organisation oder ein Unternehmen mit der Schadsoftware in Verbindung bringen. Es muss jedoch verstanden werden, dass solche irreführenden Binärdateien von jedem ausgenutzt werden können, um einen groß angelegten Softwareangriff zu starten.
In der Vergangenheit wurden solche Angriffe erleichtert, wie zum Beispiel der Stuxnet-Angriff, der das iranische Atomprogramm angriff. Dies lag daran, dass die für die Code-Signierung verwendeten Zertifikate von Realtek und JMicron gestohlen wurden.
Während Microsoft sich auf die Einführung von Windows 11 vorbereitet, lässt dieser Vorfall Zweifel an der Sicherheit aufkommen, die Microsoft mit seinen Betriebssystemen bietet . Was denken Sie? Bitte teilen Sie Ihre Gedanken im Kommentarbereich unten mit. Folgen Sie uns in den sozialen Medien – .
Lesen: 0
