Microsoft doet onderzoek naar het signeren van rootkit-driver
Microsoft is een onderzoek gestart naar het signeren van een rootkit-driver die bij aanvallen tegen gebruikers in China is ingezet, zo laat het techbedrijf weten. Vrijdag meldde antivirusbedrijf G Data dat het een door Microsoft gesigneerde rootkit-driver had ontdekt die verkeer van besmette systemen naar een Chinees ip-adres doorstuurde.
In een blogpost erkent Microsoft het signeren van de rootkit-driver. Sinds Windows Vista kunnen op Windows standaard alleen digitaal gesigneerde drivers worden geïnstalleerd. De aanvaller wilde volgens Microsoft meerdere drivers via het Windows Hardware Compatibility Program laten certificeren. Deze drivers waren van een derde partij afkomstig, maar om wie het precies gaat laat Microsoft niet weten.
Het betreffende account dat de drivers instuurde is geschorst. Tevens wordt er onderzocht of andere ingezonden drivers van malware zijn voorzien. Volgens Microsoft is het certificaat dat binnen het Windows Hardware Compatibility Program wordt gebruikt voor het signeren van drivers niet gecompromitteerd.
De aanvaller achter de rootkit-driver heeft het volgens Microsoft specifiek voorzien op de "gamingsector" in China en zou geen bedrijven als doelwit hebben. Ook lijkt de betreffende aanval niet het werk van een statelijke actor, laat het techbedrijf verder weten. De aanvaller zou via de driver hun geolocatie kunnen spoofen om zo overal vandaan te kunnen spelen. Ook zou de rootkit helpen om een voordeel in games te krijgen en mogelijk de accounts van andere gamers over te nemen, bijvoorbeeld door het gebruik van keyloggers.
Microsoft laat tevens weten dat een aanvaller beheerderstoegang moet hebben om de rootkit-driver te kunnen installeren of de gebruiker zover moet krijgen om dit voor hem te doen. Informatie over de aanval wordt met andere antivirusbedrijven gedeeld, zodat die hun gebruikers kunnen beschermen. Hoeveel malafide drivers er zijn gesigneerd laat Microsoft niet weten, maar het bedrijf heeft hashes van meer dan tachtig malafide bestanden gedeeld.
Maar het blijft microsoft. Daar gaan wel meer dingen anders.
Goed en dat brengt me tot de vraag tot naar welke ip-nummers behalve binnen je ICT Infrastructuur hoort een kale Windows machine connectie te maken?
Doen we even of ons neus bloedt, in het kader van bewustwording.
Maar het blijft microsoft. Daar gaan wel meer dingen anders.
Maar het blijft microsoft. Daar gaan wel meer dingen anders.
Als ASUS een nieuwe videodriver uitbrengt wordt deze gecontroleerd op compatibility met de door ASUS voorgestelde Windows versies, als die compatibiliteit slaagt wordt de driver gesigned.
Als ASUS er dus malware in zou stoppen wordt daar niet op gecontroleerd, ASUS is tenslotte een betrouwbare leverancier etc
Het zou dus kunnen gebeuren dat een betrouwbare leverancier gehackt zou zijn en besmette drivers, laat controleren op compatibiliteit.
Goed en dat brengt me tot de vraag tot naar welke ip-nummers behalve binnen je ICT Infrastructuur hoort een kale Windows machine connectie te maken?
Ik denk dat er geen procedure fout was - ze signen gewoon drivers van geregistreerde hardware ontwikkelaars.
Zonder veel onderzoek en zeker niet naar malicious developers.
Als je beheerder bent, of security officer is het wel goed om uit te zoeken wat 'normaal' is qua verkeer.
Helaas is dat "veel" .
Een kale machine zal typisch wel "Windows update" benaderen (of je moet de zaak inrichten met een interne update server).
En pech voor old skool firewall beheerders - dat zijn (potentieel) enorm veel reeksen.
De DNS naam is gedocumenteerd .
lees https://social.technet.microsoft.com/Forums/windowsserver/en-US/1bc2efa7-8fd8-4351-9c16-2890acb1eafa/windows-update-ports-and-ip-address-range?forum=ws2019
Als er dan een virusscanner op staat (telt dat ook als 'kaal' ?) - ook de update reeksen van de AV vendor.
Dat kan heel Akamai, of Azure, of Amazon zijn, of een ander CDN .
En dan de applicatie - zo'n server staat er met een reden . Ook die kan toegang willen hebben voor updates, of plugins, en ook dat kan van een CDN moeten komen.
Veel te veel fouten bij dat bedrijf! Wispelturig gedrag - en geen lijn in het management - geen lijn in de GUI, geen lijn in de structuur - het zijn alleseters.
Ook al zijn ze meervoudig veroordeeld monopolist-misbruiker - toch blijven velen fan. Dat begrijp ik niet.
Het gevaar komt er van dat als je alles wil - alles doet - je niks 100% doet. En dan kan het onder uw gat ontploffen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
