Cyberteam

  • Home
  • Attività
    • Network Security Assessment
    • Password Hacking
      • Password Intelligence
      • Password Security Management
      • Multi-Factor Authentication
    • Cyber Intelligence
    • Vulnerability Assessment
    • Penetration Testing
    • Spear Phishing
    • Academy
    • Database Health Check
    • Legal 4 Tech
      • Legal 4 Tech
      • AGID/GDPR
    • Digital Forensics
  • Ethical Hacker
    • chi sono
    • Lavora con noi
    • Bibliografie hacker
  • CT per il sociale
  • Contatti
  • CyberNews

Microsoft ha firmato un driver
caricato con malware rootkit

Microsoft ha firmato un driver
caricato con malware rootkit

da Valeria / sabato, 26 Giugno 2021 / Pubblicato il HACKER

I creatori di sistemi operativi offrono la firma del codice per aiutare gli utenti ad evitare di incappare in software dannosi, ma Microsoft potrebbe aver inavvertitamente infranto la fiducia che la firma dovrebbe creare.

BleepingComputer afferma che Microsoft ha confermato di aver firmato Netfilter, un driver di terze parti per Windows contenente malware rootkit che circolava nella comunità di gioco. È passato attraverso il programma di compatibilità hardware di Windows (WHCP) nonostante la connessione ai server di Command and Control (C2) del malware in Cina, come ha scoperto giorni prima il ricercatore di sicurezza Karsten Hahn.

Un rootkit, per chi non lo sapesse, è un malware che, una volta su una macchina con privilegi a livello di amministratore, concede ad altro codice dannoso o malintenzionati l’accesso amministrativo al computer. In genere si nasconde alla vista, motivo per cui i rilevatori di rootkit sono una cosa.

Non è chiaro come il rootkit sia riuscito a superare il processo di firma del certificato di Microsoft, anche se la società ha affermato che sta indagando su ciò che è successo e che ha “raffinato” il processo di firma, le politiche di accesso dei partner e la convalida. Non ci sono prove che gli autori del malware abbiano rubato i certificati e Microsoft non credeva che fosse opera di hacker sponsorizzati dallo stato.

Il produttore di driver, Ningbo Zhuo Zhi Innovation Network Technology, stava lavorando con Microsoft per studiare e correggere eventuali falle di sicurezza note, anche per l’hardware interessato. Gli utenti riceveranno driver puliti tramite Windows Update.

Microsoft ha affermato che il driver compromesso ha avuto un impatto limitato. Era rivolto ai giocatori e non sembra che abbia compromesso utenti aziendali. Inoltre, il rootkit funziona solo “post exploitation”, secondo Microsoft: è necessario aver già ottenuto l’accesso a livello di amministratore su un PC per installare il driver. Netfilter non dovrebbe rappresentare una minaccia a meno che l’utente non faccia di tutto per caricarlo, in altre parole.

Anche così, la situazione non è del tutto confortante però. Le persone vedono il driver firmato come una conferma che un driver o un programma sia sicuro. Questi utenti potrebbero esitare ad installare nuovi driver in modo tempestivo se temono che possa esserci malware, anche se quei driver provengono direttamente dal produttore.

Valeria

Blue Team Inside, si occupa di sicurezza informatica da più di 5 anni, con un occhio di riguardo alla difesa.

Una Padawan Etichal pronta a difendere l’anello più debole della catena…

Attenzione a non sottovalutarla, se finite vittima di una sua campagna di Spear Phishing non potrete scampare.

Tre caratteristiche che la distinguono:

La precisione
Sempre alla ricerca di imparare cose nuove
La sua auto…comprensiva di antenna

Colore preferito? Verde, ovviamente!

Condividi

Che altro puoi leggere

Aquatic Panda: Hacker cinesi che utilizzano gli exploit
log4Shell per eseguire attacchi post-exploitation
Okta conferma che il 2,5% dei clienti colpiti
dall’hacking di gennaio
Sabbath
Kitten.gif: nuovo programma
di affiliazione ransomware Sabbath

Categorie

  • Analisi Tecnica
  • Cyber Security
  • Dark Web
  • Data Leak
  • GDPR
  • HACKER
  • Industria 4.0
  • IOT
  • MongoDB
  • Password
  • Ransomware
  • Smartworking

Articoli recenti

  • L’AI nella metropolitana
    dei criminali informatici

    Questo rapporto discute lo stato dell'intellige...
  • CISA: Nuovo malware Submarine trovato su appliance
    Barracuda ESG compromesse

    Un nuovo tipo di malware chiamato Submarine è s...
  • Gli hacker di Lazarus dirottano i server Microsoft IIS
    per diffondere malware

    Il gruppo di hacker Lazarus, sponsorizzato dall...
  • La Vita, la Carriera e l’Eredità di Kevin Mitnick: Il ‘Condor’ del
    mondo dell’hacking

    Kevin Mitnick, meglio conosciuto come 'Il Condo...
  • Ransomware NoEscape: il probabile
    successore di Avaddon

    NoEscape, una nuova operazione di ransomware, è...
  • SOCIAL

© 2020.Tutti i diritti riservati. EURO INFORMATICA SPA - Viale della Repubblica 63/4, 36066 Sandrigo (VI)
P. IVA/CF 02367910243 - Cap Soc. 100.000 Euro i.v. - REA 0226275 - VI - Reg. Imp. 30100-VI-116

COOKIE POLICY - PRIVACY POLICY

TORNA SU
  • Sei sotto attacco?