Microsoft har utt alt at en driver sertifisert av Windows Hardware Compatibility Program (WHCP) ble funnet å inneholde rootkit-skadevare, men sier at sertifikatinfrastrukturen ikke ble kompromittert.
I en uttalelse lagt ut i Microsofts Security Response Center, bekrefter selskapet at det oppdaget den kompromitterte driveren og har suspendert kontoen som opprinnelig sendte den inn. Som påpekt av Bleeping Computer, var denne hendelsen sannsynligvis forårsaket av en svakhet i selve kodesigneringsprosessen.
Microsoft sier også at de ikke har sett noen bevis for at WHCP-signeringssertifikatet ble kompromittert, så det er usannsynlig at noen var i stand til å forfalske sertifiseringen.
Et rootkit er designet for å maskere dets tilstedeværelse, noe som gjør det vanskelig å oppdage selv mens det kjører. Skadelig programvare gjemt inne i et rootkit kan brukes til å stjele data, endre rapporter, ta kontroll over det infiserte systemet og så videre.
Ifølge Microsoft virker driverens skadevare tiltenkt bruk med online spill og kan forfalske brukerens geolokalisering slik at de kan spille hvor som helst. Det kan også la dem kompromittere andre spilleres kontoer ved å bruke keyloggere.
Ifølge Security Response Center-rapporten er "Aktørens aktivitet begrenset til spillsektoren spesifikt i Kina og ser ikke ut til å være rettet mot bedriftsmiljøer." Det står også at driveren må installeres manuelt for å være effektiv.
Med mindre et system allerede er kompromittert og gir administratortilgang til en angriper, eller brukeren selv gjør det med vilje, er det ingen reell risiko.
Microsoft sier også at driveren og dens tilknyttede filer vil bli oppdaget og blokkert av MS Defender for Endpoint. Hvis du tror du kan ha lastet ned eller installert denne driveren, kan du sjekke "Indikatorer for kompromiss" i rapporten for sikkerhetsresponssenter.
