Cyberteam

  • Home
  • Attività
    • Network Security Assessment
    • Password Hacking
      • Password Intelligence
      • Password Security Management
      • Multi-Factor Authentication
    • Cyber Intelligence
    • Vulnerability Assessment
    • Penetration Testing
    • Spear Phishing
    • Academy
    • Database Health Check
    • Legal 4 Tech
      • Legal 4 Tech
      • AGID/GDPR
    • Digital Forensics
  • Ethical Hacker
    • Lavora con noi
    • Bibliografie hacker
  • CyT per il sociale
  • Contatti
  • CyberNews

Microsoft ha firmato un driver
caricato con malware rootkit

Microsoft ha firmato un driver
caricato con malware rootkit

da Valeria / sabato, 26 Giugno 2021 / Pubblicato il HACKER

I creatori di sistemi operativi offrono la firma del codice per aiutare gli utenti ad evitare di incappare in software dannosi, ma Microsoft potrebbe aver inavvertitamente infranto la fiducia che la firma dovrebbe creare.

BleepingComputer afferma che Microsoft ha confermato di aver firmato Netfilter, un driver di terze parti per Windows contenente malware rootkit che circolava nella comunità di gioco. È passato attraverso il programma di compatibilità hardware di Windows (WHCP) nonostante la connessione ai server di Command and Control (C2) del malware in Cina, come ha scoperto giorni prima il ricercatore di sicurezza Karsten Hahn.

Un rootkit, per chi non lo sapesse, è un malware che, una volta su una macchina con privilegi a livello di amministratore, concede ad altro codice dannoso o malintenzionati l’accesso amministrativo al computer. In genere si nasconde alla vista, motivo per cui i rilevatori di rootkit sono una cosa.

Non è chiaro come il rootkit sia riuscito a superare il processo di firma del certificato di Microsoft, anche se la società ha affermato che sta indagando su ciò che è successo e che ha “raffinato” il processo di firma, le politiche di accesso dei partner e la convalida. Non ci sono prove che gli autori del malware abbiano rubato i certificati e Microsoft non credeva che fosse opera di hacker sponsorizzati dallo stato.

Il produttore di driver, Ningbo Zhuo Zhi Innovation Network Technology, stava lavorando con Microsoft per studiare e correggere eventuali falle di sicurezza note, anche per l’hardware interessato. Gli utenti riceveranno driver puliti tramite Windows Update.

Microsoft ha affermato che il driver compromesso ha avuto un impatto limitato. Era rivolto ai giocatori e non sembra che abbia compromesso utenti aziendali. Inoltre, il rootkit funziona solo “post exploitation”, secondo Microsoft: è necessario aver già ottenuto l’accesso a livello di amministratore su un PC per installare il driver. Netfilter non dovrebbe rappresentare una minaccia a meno che l’utente non faccia di tutto per caricarlo, in altre parole.

Anche così, la situazione non è del tutto confortante però. Le persone vedono il driver firmato come una conferma che un driver o un programma sia sicuro. Questi utenti potrebbero esitare ad installare nuovi driver in modo tempestivo se temono che possa esserci malware, anche se quei driver provengono direttamente dal produttore.

Valeria

Blue Team Inside, si occupa di sicurezza informatica da più di 5 anni, con un occhio di riguardo alla difesa.

Una Padawan Etichal pronta a difendere l’anello più debole della catena…

Attenzione a non sottovalutarla, se finite vittima di una sua campagna di Spear Phishing non potrete scampare.

Tre caratteristiche che la distinguono:

La precisione
Sempre alla ricerca di imparare cose nuove
La sua auto…comprensiva di antenna

Colore preferito? Verde, ovviamente!

Condividi

Che altro puoi leggere

T-mobile data breach
T-Mobile conferma la violazione dei server
e indaga sul data breach
Oh snap! Scoperta una vulnerabilità legata al
Local Privilege Escalation in snap-confine (CVE-2021-44731)
Lapsus$ prende 37 GB del
codice sorgente di Microsoft

Categorie

  • Analisi Tecnica
  • Cyber Security
  • Dark Web
  • Data Leak
  • GDPR
  • HACKER
  • Industria 4.0
  • IOT
  • MongoDB
  • Password
  • Ransomware
  • Smartworking

Articoli recenti

  • Il malware per Android SpinOk
    trovato in più di 30 milioni di app

    Il malware SpinOk è stato individuato in un nuo...
  • Fuga di dati sensibili presso Evotor,
    azienda IT russa

    Evotor, un'azienda russa che offre servizi di g...
  • Nuove backdoor malware PowerExchange
    Server Microsoft Exchange

    Un malware recentemente sviluppato basato su Po...
  • password intelligence

    Controllo di sicurezza: 13.000 password
    del governo USA violate in 90 minuti

    Poiché i dipendenti del Dipartimento degli Inte...
  • Fuga di dati: circola un database
    con 235 milioni di account Twitter

    Dopo che a dicembre è stato messo in vendita un...
  • SOCIAL

© 2020.Tutti i diritti riservati. EURO INFORMATICA SPA - Viale della Repubblica 63/4, 36066 Sandrigo (VI)
P. IVA/CF 02367910243 - Cap Soc. 100.000 Euro i.v. - REA 0226275 - VI - Reg. Imp. 30100-VI-116

COOKIE POLICY - PRIVACY POLICY

TORNA SU
  • Sei sotto attacco?