Microsoft doet onderzoek naar het signeren van rootkit-driver
Microsoft is een onderzoek gestart naar het signeren van een rootkit-driver die bij aanvallen tegen gebruikers in China is ingezet, zo laat het techbedrijf weten. Vrijdag meldde antivirusbedrijf G Data dat het een door Microsoft gesigneerde rootkit-driver had ontdekt die verkeer van besmette systemen naar een Chinees ip-adres doorstuurde.
In een blogpost erkent Microsoft het signeren van de rootkit-driver. Sinds Windows Vista kunnen op Windows standaard alleen digitaal gesigneerde drivers worden geïnstalleerd. De aanvaller wilde volgens Microsoft meerdere drivers via het Windows Hardware Compatibility Program laten certificeren. Deze drivers waren van een derde partij afkomstig, maar om wie het precies gaat laat Microsoft niet weten.
Het betreffende account dat de drivers instuurde is geschorst. Tevens wordt er onderzocht of andere ingezonden drivers van malware zijn voorzien. Volgens Microsoft is het certificaat dat binnen het Windows Hardware Compatibility Program wordt gebruikt voor het signeren van drivers niet gecompromitteerd.
De aanvaller achter de rootkit-driver heeft het volgens Microsoft specifiek voorzien op de "gamingsector" in China en zou geen bedrijven als doelwit hebben. Ook lijkt de betreffende aanval niet het werk van een statelijke actor, laat het techbedrijf verder weten. De aanvaller zou via de driver hun geolocatie kunnen spoofen om zo overal vandaan te kunnen spelen. Ook zou de rootkit helpen om een voordeel in games te krijgen en mogelijk de accounts van andere gamers over te nemen, bijvoorbeeld door het gebruik van keyloggers.
Microsoft laat tevens weten dat een aanvaller beheerderstoegang moet hebben om de rootkit-driver te kunnen installeren of de gebruiker zover moet krijgen om dit voor hem te doen. Informatie over de aanval wordt met andere antivirusbedrijven gedeeld, zodat die hun gebruikers kunnen beschermen. Hoeveel malafide drivers er zijn gesigneerd laat Microsoft niet weten, maar het bedrijf heeft hashes van meer dan tachtig malafide bestanden gedeeld.
Maar het blijft microsoft. Daar gaan wel meer dingen anders.
Goed en dat brengt me tot de vraag tot naar welke ip-nummers behalve binnen je ICT Infrastructuur hoort een kale Windows machine connectie te maken?
Doen we even of ons neus bloedt, in het kader van bewustwording.
Maar het blijft microsoft. Daar gaan wel meer dingen anders.
Maar het blijft microsoft. Daar gaan wel meer dingen anders.
Als ASUS een nieuwe videodriver uitbrengt wordt deze gecontroleerd op compatibility met de door ASUS voorgestelde Windows versies, als die compatibiliteit slaagt wordt de driver gesigned.
Als ASUS er dus malware in zou stoppen wordt daar niet op gecontroleerd, ASUS is tenslotte een betrouwbare leverancier etc
Het zou dus kunnen gebeuren dat een betrouwbare leverancier gehackt zou zijn en besmette drivers, laat controleren op compatibiliteit.
Goed en dat brengt me tot de vraag tot naar welke ip-nummers behalve binnen je ICT Infrastructuur hoort een kale Windows machine connectie te maken?
Ik denk dat er geen procedure fout was - ze signen gewoon drivers van geregistreerde hardware ontwikkelaars.
Zonder veel onderzoek en zeker niet naar malicious developers.
Als je beheerder bent, of security officer is het wel goed om uit te zoeken wat 'normaal' is qua verkeer.
Helaas is dat "veel" .
Een kale machine zal typisch wel "Windows update" benaderen (of je moet de zaak inrichten met een interne update server).
En pech voor old skool firewall beheerders - dat zijn (potentieel) enorm veel reeksen.
De DNS naam is gedocumenteerd .
lees https://social.technet.microsoft.com/Forums/windowsserver/en-US/1bc2efa7-8fd8-4351-9c16-2890acb1eafa/windows-update-ports-and-ip-address-range?forum=ws2019
Als er dan een virusscanner op staat (telt dat ook als 'kaal' ?) - ook de update reeksen van de AV vendor.
Dat kan heel Akamai, of Azure, of Amazon zijn, of een ander CDN .
En dan de applicatie - zo'n server staat er met een reden . Ook die kan toegang willen hebben voor updates, of plugins, en ook dat kan van een CDN moeten komen.
Veel te veel fouten bij dat bedrijf! Wispelturig gedrag - en geen lijn in het management - geen lijn in de GUI, geen lijn in de structuur - het zijn alleseters.
Ook al zijn ze meervoudig veroordeeld monopolist-misbruiker - toch blijven velen fan. Dat begrijp ik niet.
Het gevaar komt er van dat als je alles wil - alles doet - je niks 100% doet. En dan kan het onder uw gat ontploffen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.