Non è chiaro come il rootkit sia riuscito a superare il processo di firma del certificato di Microsoft, anche se la società ha affermato che sta indagando su ciò che è successo e che ha “raffinato” il processo di firma, le politiche di accesso dei partner e la convalida. Non ci sono prove che gli autori del malware abbiano rubato i certificati e Microsoft non credeva che fosse opera di hacker sponsorizzati dallo stato.

Il produttore di driver, Ningbo Zhuo Zhi Innovation Network Technology, stava lavorando con Microsoft per studiare e correggere eventuali falle di sicurezza note, anche per l’hardware interessato. Gli utenti riceveranno driver puliti tramite Windows Update.

Microsoft ha affermato che il driver compromesso ha avuto un impatto limitato. Era rivolto ai giocatori e non sembra che abbia compromesso utenti aziendali. Inoltre, il rootkit funziona solo “post exploitation”, secondo Microsoft: è necessario aver già ottenuto l’accesso a livello di amministratore su un PC per installare il driver. Netfilter non dovrebbe rappresentare una minaccia a meno che l’utente non faccia di tutto per caricarlo, in altre parole.

Anche così, la situazione non è del tutto confortante però. Le persone vedono il driver firmato come una conferma che un driver o un programma sia sicuro. Questi utenti potrebbero esitare ad installare nuovi driver in modo tempestivo se temono che possa esserci malware, anche se quei driver provengono direttamente dal produttore.