I creatori di sistemi operativi offrono la firma del codice per aiutare gli utenti ad evitare di incappare in software dannosi, ma Microsoft potrebbe aver inavvertitamente infranto la fiducia che la firma dovrebbe creare.
BleepingComputer afferma che Microsoft ha confermato di aver firmato Netfilter, un driver di terze parti per Windows contenente malware rootkit che circolava nella comunità di gioco. È passato attraverso il programma di compatibilità hardware di Windows (WHCP) nonostante la connessione ai server di Command and Control (C2) del malware in Cina, come ha scoperto giorni prima il ricercatore di sicurezza Karsten Hahn.
Non è chiaro come il rootkit sia riuscito a superare il processo di firma del certificato di Microsoft, anche se la società ha affermato che sta indagando su ciò che è successo e che ha “raffinato” il processo di firma, le politiche di accesso dei partner e la convalida. Non ci sono prove che gli autori del malware abbiano rubato i certificati e Microsoft non credeva che fosse opera di hacker sponsorizzati dallo stato.
Il produttore di driver, Ningbo Zhuo Zhi Innovation Network Technology, stava lavorando con Microsoft per studiare e correggere eventuali falle di sicurezza note, anche per l’hardware interessato. Gli utenti riceveranno driver puliti tramite Windows Update.
Microsoft ha affermato che il driver compromesso ha avuto un impatto limitato. Era rivolto ai giocatori e non sembra che abbia compromesso utenti aziendali. Inoltre, il rootkit funziona solo “post exploitation”, secondo Microsoft: è necessario aver già ottenuto l’accesso a livello di amministratore su un PC per installare il driver. Netfilter non dovrebbe rappresentare una minaccia a meno che l’utente non faccia di tutto per caricarlo, in altre parole.
Anche così, la situazione non è del tutto confortante però. Le persone vedono il driver firmato come una conferma che un driver o un programma sia sicuro. Questi utenti potrebbero esitare ad installare nuovi driver in modo tempestivo se temono che possa esserci malware, anche se quei driver provengono direttamente dal produttore.
