Ponad 100 złośliwych podpisanych sterowników Windows zablokowanych przez Microsoft
Opublikowany wczoraj przez Microsoft poradnik bezpieczeństwa oznaczony jako ADV230001 dotyczy problemu z wieloma sterownikami certyfikowanymi przez Windows Hardware Developer Program, które "były złośliwie wykorzystywane w działaniach po exploicie". Problem ten został wykryty przez badaczy z Sophos, którzy powiadomili Microsoft na początku lutego 2023 roku. Oprócz nich Microsoft ujawnił, że Trend Micro i Cisco dostarczyły własne raporty o takich problemach, zwiększając całkowitą liczbę niebezpiecznych sterowników (w tym niecertyfikowanych) do 133.
Według Microsoftu, późniejsze dochodzenie ujawniło, że "kilka kont deweloperów dla Microsoft Partner Center (MPC) było zaangażowanych w przesyłanie złośliwych sterowników w celu uzyskania podpisu Microsoft". Podjęto również inne środki, takie jak wdrożenie wykrywania blokowania (począwszy od Microsoft Defender 1.391.3822.0), które zapewniają ochronę przed legalnie podpisanymi sterownikami używanymi w działaniach po exploicie.
Jak ujawnił Sophos, dwa rodzaje złośliwych sterowników były ostatnio wykorzystywane w różnych atakach. Pierwszy z nich był podobny do złośliwie podpisanych sterowników odkrytych w zeszłym roku i należących do kategorii "zabójców ochrony punktów końcowych", podczas gdy drugi typ przypomina rootkita, zaprojektowanego tak, aby działał po cichu jako kolejne zadanie w tle.
Jak zwykle, wszystko, co użytkownicy domowi muszą zrobić, to aktualizować swój system operacyjny i nic więcej. Problemy te nie dotknęły innych urządzeń lub usług poza komputerami PC z systemem Windows, więc użytkownicy Azure, Xbox lub Microsoft 365 nie mają się czym martwić.