Microsoft stwierdził, że sterownik certyfikowany przez program zgodności sprzętu systemu Windows (WHCP) zawiera złośliwe oprogramowanie typu rootkit, ale twierdzi, że infrastruktura certyfikatów nie została naruszona.
W oświadczeniu opublikowanym w Security Response Center firmy Microsoft firma potwierdza, że wykryła zhakowany sterownik i zawiesiła konto, na którym został pierwotnie przesłany. Jak wskazał Bleeping Computer, incydent ten był prawdopodobnie spowodowany słabością samego procesu podpisywania kodu.
Microsoft twierdzi również, że nie znalazł żadnych dowodów na to, że certyfikat podpisywania WHCP został naruszony, więc jest mało prawdopodobne, aby ktoś był w stanie sfałszować certyfikat.
Rootkit ma za zadanie maskować jego obecność, co utrudnia jego wykrycie nawet podczas działania. Złośliwe oprogramowanie ukryte w rootkicie może zostać użyte do kradzieży danych, zmiany raportów, przejęcia kontroli nad zainfekowanym systemem itd.
Według Microsoftu złośliwe oprogramowanie sterownika wydaje się być przeznaczone do użytku w grach online i może sfałszować geolokalizację użytkownika, aby umożliwić mu grę z dowolnego miejsca. Może również pozwolić im na włamanie się do kont innych graczy za pomocą keyloggerów.
Według raportu Security Response Center: „Działalność aktora ogranicza się do sektora gier, szczególnie w Chinach i nie wydaje się być ukierunkowana na środowiska korporacyjne”. Stwierdza również, że sterownik musi być zainstalowany ręcznie, aby działał.
O ile system nie został już naruszony i przyznał dostęp administratora osobie atakującej lub sam użytkownik robi to celowo, nie ma realnego ryzyka.
Microsoft twierdzi również, że sterownik i powiązane z nim pliki zostaną wykryte i zablokowane przez program MS Defender for Endpoint. Jeśli uważasz, że mogłeś pobrać lub zainstalować ten sterownik, możesz sprawdzić „Wskaźniki narażenia na ryzyko” w raporcie Security Response Center.
