Microsoft hat einen Fehler gemacht

0

Wie Microsoft einen Treiber von Drittanbietern mit Malware signiert hat

Bevor wir in die Geschichte einsteigen, lassen Sie uns einige Schlüsselbegriffe definieren.werden in diesem Artikel verwendet:

· Treiber— Ein Treiber ist eine Komponente, die es Ihrer Hardware und Ihrem Betriebssystem ermöglicht, miteinander zu kommunizieren.Sie verwenden beispielsweise einen Treiber, um Ihrem Betriebssystem mitzuteilen, wie es Funktionen auf Ihrem Drucker ausführen soll.

· Signiert– Ein Treiber gilt als signiert, wenn eine digitale Signaturwird von einem Herausgeber erstellt, der überprüft, ob der Treiber funktioniert und getestet wurde.Zum Beispiel bedeutet die “Signierung” von Netfilter durch Microsoft, dass es angeblichfür die Verwendung als vertrauenswürdiger Treiber getestet und genehmigt wurde.

· Malware— Computersoftware, die mit böswilliger Absicht erstellt wurde (malbösartige Softwareware).Computerviren sind beispielsweise eine Art von Malware, die entwickelt wurde, um Computerfunktionen zu verbreiten und zu unterbrechen.

· Rootkit– Ein Rootkit ist eine Form von Malware, die sich selbst verwurzeltIhr System ohne Erlaubnis und greift auf Ihre Informationen zu.In diesem Fall ist Netfilter das Rootkit.

· Bad Actor– Jemand, der böswillig auf Informationen zugreift.E-Mail-Phishing wird beispielsweise von bösartigen Akteuren ausgeführt.

Was ist passiert

Microsoft ergreift Maßnahmen, nachdem versehentlich ein Drittanbietertreiber signiert wurde, der Malware enthielt.Microsoft hat kürzlich einen Treiber namens Netfilter signiert, der von Ningbo Zhuo Zhi Innovation Network Technology erstellt wurde.Der Treiber stammt aus China und ermöglicht es einem bösartigen Akteur, den Standort des Geräts des infizierten Benutzers zu verfolgen, indem er den Benutzer an die IP-Adresse des Akteurs umleitet.Böse Akteure fälschen dann diesen Ort, um den Anschein zu erwecken, dass sie online sind, wo immer sich der Benutzer befindet, um illegale Vorteile in Videospielen zu erlangen.Karten Hahn, ein Malware-Jäger, twitterte am 17. Juni 2021 über das Rootkit.

Was hätte passieren sollen

Windows verwendet ein Programm namens Windows Hardware Compatibility Program (WHCP), um signierte Treiber zu testen und zu genehmigen.Treiber, die nicht von Microsoft signiert sind, können standardmäßig nicht in Windows-Betriebssystemen installiert werden.Treiber, die von Kerneln stammen, durchlaufen eine zusätzliche Regulierung, bevor sie von Microsoft signiert werden, da Kernel in den Code des Betriebssystems eingefügt werden und die Funktionsweise des Geräts ändern können.Die Bedrohung sollte vor der Unterzeichnung erkannt und beseitigt worden sein.Es ist unklar, wie Netfilter es durch den Signierprozess geschafft hat, aber dies wird von Microsoft untersucht.

Was wird getan

Microsoft gab zu der Entdeckung an,

Standardmäßig ist der Benutzer jedoch der Administrator seines eigenen PCs, es sei denn, er ist mit einem Netzwerk verbunden oder aus irgendeinem Grund hat jemand anderes dies getanAdministratorrechte für einen gemeinsam genutzten Computer.Wenn sich das Rootkit irgendwo auf dem Computer verwurzeln und auf das Konto des PC-Benutzers zugreifen könnte, könnte er wahrscheinlich Administratorrechte erlangen.

Microsoft hat Pläne, seine Signierung zu verfeinernProzess und hat die Fähigkeit von Netfilter ausgesetzt, weiterhin als von Microsoft signierter Treiber zu agieren.Es wird derzeit untersucht, ob die Entwickler von Netfilter noch andere signierte Treiber hatten.

So schützen Sie Ihre Geräte

Recherchieren Sie immer gründlich, was Sie herunterladen oder auf Ihren Computer klicken.Normalerweise können Sie von Microsoft signierten Treibern vertrauen.Dies war ein seltenes Ereignis, aber das macht es nicht akzeptabel.In Unternehmen wie Microsoft werden solche Dinge von Zeit zu Zeit passieren, da Menschen mit böswilligen Absichten mit der Technologie immer besser werden.Die Sicherheit wird sich jedoch weiterentwickeln, wenn Bedrohungen auftauchen.Obwohl ich persönlich froh bin, dass Microsoft so wenig wie möglich tut und den bösartigen Treiber aussetzt, denke ich, dass die vage Aussage zu Administratorrechten die Situation heruntergespielt hat.Jetzt ist es an der Zeit, Verantwortung zu übernehmen und die Benutzer mit vorbeugenden Maßnahmen über die gesamte Situation aufzuklären.Bei der Überprüfung ihrer Website habe ich nicht das Gefühl, dass genügend Informationen verbreitet werden, um die Situation an die Öffentlichkeit zu bringen.Obwohl es nicht viele infizierte Systeme gab, wäre dies eine großartige Lehrgelegenheit gewesen, die sie komplett übersprungen haben.

Quellen:

1.https://www.pcmag.com/news/microsoft-confirms-it-signed-malicious-netfilter-drivers

2.https://thehackernews.com/2021/06/hackers-trick-microsoft-into-signing.html

3.https://www.gdatasoftware.com/blog/microsoft-signed-a-malicious-netfilter-rootkit

4.Karsten Hahn

https://medium.com/codex/have-you-downloaded-this-rogue-microsoft-driver-325c911fab6e

Dies ist der Originalinhalt aus dem NewsBreak Creator Program.Melden Sie sich noch heute an, um Ihre eigenen Inhalte zu veröffentlichen und zu teilen.

Share.

Leave A Reply