image

Microsoft doet onderzoek naar het signeren van rootkit-driver

zondag 27 juni 2021, 10:50 door Redactie, 6 reacties

Microsoft is een onderzoek gestart naar het signeren van een rootkit-driver die bij aanvallen tegen gebruikers in China is ingezet, zo laat het techbedrijf weten. Vrijdag meldde antivirusbedrijf G Data dat het een door Microsoft gesigneerde rootkit-driver had ontdekt die verkeer van besmette systemen naar een Chinees ip-adres doorstuurde.

In een blogpost erkent Microsoft het signeren van de rootkit-driver. Sinds Windows Vista kunnen op Windows standaard alleen digitaal gesigneerde drivers worden geïnstalleerd. De aanvaller wilde volgens Microsoft meerdere drivers via het Windows Hardware Compatibility Program laten certificeren. Deze drivers waren van een derde partij afkomstig, maar om wie het precies gaat laat Microsoft niet weten.

Het betreffende account dat de drivers instuurde is geschorst. Tevens wordt er onderzocht of andere ingezonden drivers van malware zijn voorzien. Volgens Microsoft is het certificaat dat binnen het Windows Hardware Compatibility Program wordt gebruikt voor het signeren van drivers niet gecompromitteerd.

De aanvaller achter de rootkit-driver heeft het volgens Microsoft specifiek voorzien op de "gamingsector" in China en zou geen bedrijven als doelwit hebben. Ook lijkt de betreffende aanval niet het werk van een statelijke actor, laat het techbedrijf verder weten. De aanvaller zou via de driver hun geolocatie kunnen spoofen om zo overal vandaan te kunnen spelen. Ook zou de rootkit helpen om een voordeel in games te krijgen en mogelijk de accounts van andere gamers over te nemen, bijvoorbeeld door het gebruik van keyloggers.

Microsoft laat tevens weten dat een aanvaller beheerderstoegang moet hebben om de rootkit-driver te kunnen installeren of de gebruiker zover moet krijgen om dit voor hem te doen. Informatie over de aanval wordt met andere antivirusbedrijven gedeeld, zodat die hun gebruikers kunnen beschermen. Hoeveel malafide drivers er zijn gesigneerd laat Microsoft niet weten, maar het bedrijf heeft hashes van meer dan tachtig malafide bestanden gedeeld.

Reacties (6)
27-06-2021, 11:52 door Anoniem
Tevens wordt er onderzocht of andere ingezonden drivers van malware zijn voorzien.
Je zou verwachten dat men dit doet voor men de boel signed.
Maar het blijft microsoft. Daar gaan wel meer dingen anders.
27-06-2021, 17:30 door Anoniem
Niet meer dan normaal dat ze het onderzoeken toch? Al hoop ik niet dat het een procedure fout is want dan hebben we nog wel meer ellende. Met dank aan Gdata want stel je voor dat ze zoiets niet ontdekt hadden dan zaten we nu wellicht met Wndows machines's opgescheept die met allerlei servers connecties maken.

Goed en dat brengt me tot de vraag tot naar welke ip-nummers behalve binnen je ICT Infrastructuur hoort een kale Windows machine connectie te maken?

Doen we even of ons neus bloedt, in het kader van bewustwording.
28-06-2021, 08:29 door Anoniem
Door Anoniem:
Tevens wordt er onderzocht of andere ingezonden drivers van malware zijn voorzien.
Je zou verwachten dat men dit doet voor men de boel signed.
Maar het blijft microsoft. Daar gaan wel meer dingen anders.
Het doel van het Hardware Compatibility Program is niet security, het is compatibility: garantie dat de driver een goed werkend systeem niet onderuit trekt. Daar zijn de checks op gebouwd. Het is dan niet vreemd dat security problemen niet worden opgemerkt. Nu is echter de conclusie dat dit wel degelijk een punt is waar op gecontroleerd moet worden, iets wat ze denk ik dan ook wel gaan introduceren in dit programma.
28-06-2021, 09:24 door _R0N_
Door Anoniem:
Tevens wordt er onderzocht of andere ingezonden drivers van malware zijn voorzien.
Je zou verwachten dat men dit doet voor men de boel signed.
Maar het blijft microsoft. Daar gaan wel meer dingen anders.

Als ASUS een nieuwe videodriver uitbrengt wordt deze gecontroleerd op compatibility met de door ASUS voorgestelde Windows versies, als die compatibiliteit slaagt wordt de driver gesigned.
Als ASUS er dus malware in zou stoppen wordt daar niet op gecontroleerd, ASUS is tenslotte een betrouwbare leverancier etc

Het zou dus kunnen gebeuren dat een betrouwbare leverancier gehackt zou zijn en besmette drivers, laat controleren op compatibiliteit.
28-06-2021, 11:20 door Anoniem
Door Anoniem: Niet meer dan normaal dat ze het onderzoeken toch? Al hoop ik niet dat het een procedure fout is want dan hebben we nog wel meer ellende. Met dank aan Gdata want stel je voor dat ze zoiets niet ontdekt hadden dan zaten we nu wellicht met Wndows machines's opgescheept die met allerlei servers connecties maken.

Goed en dat brengt me tot de vraag tot naar welke ip-nummers behalve binnen je ICT Infrastructuur hoort een kale Windows machine connectie te maken?

Ik denk dat er geen procedure fout was - ze signen gewoon drivers van geregistreerde hardware ontwikkelaars.
Zonder veel onderzoek en zeker niet naar malicious developers.


Als je beheerder bent, of security officer is het wel goed om uit te zoeken wat 'normaal' is qua verkeer.
Helaas is dat "veel" .

Een kale machine zal typisch wel "Windows update" benaderen (of je moet de zaak inrichten met een interne update server).

En pech voor old skool firewall beheerders - dat zijn (potentieel) enorm veel reeksen.
De DNS naam is gedocumenteerd .

lees https://social.technet.microsoft.com/Forums/windowsserver/en-US/1bc2efa7-8fd8-4351-9c16-2890acb1eafa/windows-update-ports-and-ip-address-range?forum=ws2019

Als er dan een virusscanner op staat (telt dat ook als 'kaal' ?) - ook de update reeksen van de AV vendor.
Dat kan heel Akamai, of Azure, of Amazon zijn, of een ander CDN .

En dan de applicatie - zo'n server staat er met een reden . Ook die kan toegang willen hebben voor updates, of plugins, en ook dat kan van een CDN moeten komen.
28-06-2021, 21:53 door Anoniem
Signaturen blijven een kwestie van vertrouwen. Vertrouwen wij Microsoft? - nee.
Veel te veel fouten bij dat bedrijf! Wispelturig gedrag - en geen lijn in het management - geen lijn in de GUI, geen lijn in de structuur - het zijn alleseters.
Ook al zijn ze meervoudig veroordeeld monopolist-misbruiker - toch blijven velen fan. Dat begrijp ik niet.
Het gevaar komt er van dat als je alles wil - alles doet - je niks 100% doet. En dan kan het onder uw gat ontploffen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.