image

Microsoft signeert rootkit-driver die verkeer naar Chinees ip-adres stuurt

vrijdag 25 juni 2021, 17:13 door Redactie, 10 reacties

Microsoft heeft een malafide driver die als rootkit fungeert en verkeer naar een Chinees ip-adres stuurt van een digitale handtekening voorzien. Hoe het kan dat de rootkit-driver door Microsoft werd gesigneerd wordt door het techbedrijf onderzocht, meldt antivirusbedrijf G Data dat de malware ontdekte.

Sinds Windows Vista kunnen standaard alleen digitaal gesigneerde drivers worden geïnstalleerd. Vorige week werd G Data gewaarschuwd door een eigen systeem voor een mogelijke false positive, omdat een door Microsoft gesigneerde driver als malware was gedetecteerd. Het komt vaker voor dat antivirussoftware legitieme software als malware bestempelt.

In dit geval ging het om een true positive. De malware in kwestie was door Microsoft gesigneerd. Eenmaal actief blijkt de rootkit-driver verkeer naar een Chinees ip-adres door te sturen dat volgens het Amerikaanse ministerie van Defensie een Chinees defensiebedrijf is. De malware blijkt ook in staat om zichzelf te updaten.

G Data waarschuwde Microsoft waarna het techbedrijf signatures uitrolde voor de virusdatabase van Windows Defender. Volgens malware-analist Karsten Hahn is het nog altijd onduidelijk hoe de malafide driver kon worden gesigneerd. In deze analyse geeft G Data meer details over de rootkit.

Reacties (10)
25-06-2021, 17:38 door Anoniem
Daarom hoort microsoft ook helemaal niet te signen. europese unie wordt even wakker.
25-06-2021, 22:08 door Anoniem
Door Anoniem: Daarom hoort microsoft ook helemaal niet te signen. europese unie wordt even wakker.
Het lijkt mij handig om eerst vast te stellen hoe het kwam dat een Rootkit gesigneerd kon worden. Als je dat namelijk niet weet, kun je de fout nooit oplossen of de controles verbeteren.
25-06-2021, 22:50 door Anoniem
Europese unie wat is dat ?
25-06-2021, 23:05 door Anoniem
Microsoft is blijkbaar gehackt door Chinezen.
26-06-2021, 07:20 door [Account Verwijderd]
Microsoft heeft lak aan haar gebruikers!

https://www.security.nl/posting/709297#posting709453
26-06-2021, 14:46 door Anoniem
De eerste onderzoeksresultaten laten zien hoe Microsoft deze Rootkit kon signeren. Het hele artikel staat op BleepingComputer. https://www.bleepingcomputer.com/news/security/microsoft-admits-to-signing-rootkit-malware-in-supply-chain-fiasco/
26-06-2021, 21:43 door Anoniem
Door Toje Fos: Microsoft heeft lak aan haar gebruikers!

https://www.security.nl/posting/709297#posting709453

Waar maak je je druk om, jij bent toch veilig.
26-06-2021, 22:32 door Anoniem
Door Anoniem: De eerste onderzoeksresultaten laten zien hoe Microsoft deze Rootkit kon signeren. Het hele artikel staat op BleepingComputer. https://www.bleepingcomputer.com/news/security/microsoft-admits-to-signing-rootkit-malware-in-supply-chain-fiasco/

Uh, nee, dat is een heel boeiend artikel - maar er staat niets relevants in over het falen van Microsofts' controle proces.

Er staat alleen


The actor submitted drivers for certification through the Windows Hardware Compatibility Program. The drivers were built by a third party."

"We have suspended the account and reviewed their submissions for additional signs of malware," said Microsoft yesterday.

Het is een feit dat Microsoft zelf lang niet alle drivers schrijft - in zekere zin logisch : die worden geschreven door de leveranciers van hardware (of software) .

Wat garandeert de microsoft signature : feitelijk dat de code niet gewijzigd is ten opzichte van de versie die aangeboden is om te signen .
En verder dat de bron herleidbaar is , en dat Microsoft het (al of niet ?) gecontroleerd heeft .

Ik dat de controle maar heel beperkt gericht is op maliciousness - in eerste instantie is het herleidbaarheid naar een 'geregistreerde developer of leverancier' , en daarnaast waarschijnlijk op compliance met de driver-API , en interactie met het systeem .

Weet iemand Microsoft uberhaupt source code vereist ?
Er is een hoop te klagen over Apple's app-store approva procesl - deels terecht - maar hoewel niet perfect is het technisch erg goed. Ik betwijfel of Microsoft's driver approval proces even goed is.

Maar zelfs met source code - met enige obfuscatie is het niet heel moeilijk om malicious gedrag te verstoppen voor een vluchtige inspectie , en lang genoeg te wachten dat het tijdens de inspectie niet gebeurt.

beetje gezocht :

https://docs.microsoft.com/en-us/windows-hardware/design/compatibility/ihv-attested-signing-service

en nog een serie urls
https://docs.microsoft.com/en-us/windows-hardware/drivers/dashboard/get-drivers-signed-by-microsoft-for-multiple-windows-versions

Ik zie er niet meteen in dat je source of intermediate code zou moeten aanleveren .
27-06-2021, 00:39 door Anoniem
Door Anoniem:
Door Toje Fos: Microsoft heeft lak aan haar gebruikers!

https://www.security.nl/posting/709297#posting709453

Waar maak je je druk om, jij bent toch veilig.
Hij maakt zich niet druk maar constateert alleen dat Microsoft lak heeft aan haar gebruikers.
Ik denk dat Microsoft zich nu druk maakt.
27-06-2021, 06:39 door [Account Verwijderd]
Door Anoniem:
Door Toje Fos: Microsoft heeft lak aan haar gebruikers!

https://www.security.nl/posting/709297#posting709453

Waar maak je je druk om, jij bent toch veilig.

Hoezo?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.