Microsoft hat Treiber mit Rootkit-Malware signiert und fleißig verteilt
Die Signierung von Treibern und Anwendungen soll ganz allgemein dazu dienen, Updates sicherer zu machen. Doch dass das nicht immer stimmt und trotz Signatur auch Malware den Weg durch das Schutznetz schafft, musste Microsoft jetzt zugeben.
Man hört ja häufiger von eingeschleuster Malware in Android- oder iOS-Apps, aber jetzt hat es einmal Microsoft besonders schwer getroffen. Microsoft hat nun bestätigt, einen bösartigen Treiber signiert zu haben, der in Spielumgebungen verbreitet wurde. Aufgrund dieses Fehlers wurde Malware verteilt, die nach den ersten Erkenntnissen mit einem chinesischen Server verbunden ist.
Dieser Vorfall hat wieder einmal Bedrohungen für die Sicherheit der Software-Lieferkette aufgedeckt, nur dass er diesmal von einer Schwäche in Microsofts Code-Signierungsprozess herrührte. Letzte Woche meldeten die Cybersecurity-Warnsysteme von G Data etwas, das zunächst wie ein Fehlalarm aussah, es aber nicht war - ein von Microsoft signierter Treiber namens "Netfilter". Der fragliche Treiber bot keine legitime Funktionalität, sodass er Verdacht erregte. Daraufhin teilte der Malware-Analyst von G Data, Karsten Hahn, dies öffentlich mit und kontaktierte gleichzeitig Microsoft:
"Seit Windows Vista muss jeder Code, der im Kernel-Modus läuft, vor der öffentlichen Freigabe getestet und signiert werden, um die Stabilität des Betriebssystems zu gewährleisten. Treiber ohne ein Microsoft-Zertifikat können standardmäßig nicht installiert werden", so Hahn. Der Forscher hat den Treiber, seine Selbst-Update-Funktionalität und die sogenannten "Indicators of Compromise (IOCs)", also die Hinweise auf Kompromittierung durch die Treiber in einem ausführlichen Blog-Post analysiert. Microsoft untersucht diesen Vorfall nun laut einem Beitrag im Microsoft Security Response Center derzeit und will entsprechend über weitere Erkenntnisse informieren.
Download RogueKiller - Malware aufspüren und entfernen Download Malwarebytes Premium - Vierfacher Schutz Siehe auch:
Treiber mit "bösartigem Inhalt" mit dem Siegel von Microsoft
Auf das Problem aufmerksam gemacht hatte Karsten Hahn, Malware-Analyst bei G Data. Gefunden wurde ein bösartiger Treiber mit dem Siegel von Microsoft. Dieser Treiber mit dem Namen "Netfilter" ist in Wirklichkeit ein Rootkit, das bei der Kommunikation mit chinesischen Command-and-Control-IPs (C2) beobachtet wurde.Dieser Vorfall hat wieder einmal Bedrohungen für die Sicherheit der Software-Lieferkette aufgedeckt, nur dass er diesmal von einer Schwäche in Microsofts Code-Signierungsprozess herrührte. Letzte Woche meldeten die Cybersecurity-Warnsysteme von G Data etwas, das zunächst wie ein Fehlalarm aussah, es aber nicht war - ein von Microsoft signierter Treiber namens "Netfilter". Der fragliche Treiber bot keine legitime Funktionalität, sodass er Verdacht erregte. Daraufhin teilte der Malware-Analyst von G Data, Karsten Hahn, dies öffentlich mit und kontaktierte gleichzeitig Microsoft:
"Seit Windows Vista muss jeder Code, der im Kernel-Modus läuft, vor der öffentlichen Freigabe getestet und signiert werden, um die Stabilität des Betriebssystems zu gewährleisten. Treiber ohne ein Microsoft-Zertifikat können standardmäßig nicht installiert werden", so Hahn. Der Forscher hat den Treiber, seine Selbst-Update-Funktionalität und die sogenannten "Indicators of Compromise (IOCs)", also die Hinweise auf Kompromittierung durch die Treiber in einem ausführlichen Blog-Post analysiert. Microsoft untersucht diesen Vorfall nun laut einem Beitrag im Microsoft Security Response Center derzeit und will entsprechend über weitere Erkenntnisse informieren.
Download RogueKiller - Malware aufspüren und entfernen Download Malwarebytes Premium - Vierfacher Schutz Siehe auch:
Thema:
Neueste Downloads
Neue Nachrichten
Beliebte Nachrichten
Videos
Meist kommentierte Nachrichten
Forum
-
DietPi 10.5: das sprichwörtliche Leichtgewicht
d-hubs - Gestern 13:39 Uhr -
Netzwerkproblem 25H2 und jetzt auch mit 24H2
Airboss - Gestern 04:45 Uhr -
Die BCON26, das größte Treffen von Blender-Experten
d-hubs - Vorgestern 14:09 Uhr -
dav2d: ein sehr schneller plattformübergreifender AV2 decoder
d-hubs - 15.06. 15:26 Uhr -
Neues von Proxmox, dem Virtualisieurngsspezialisten
d-hubs - 15.06. 10:53 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen