Microsoft heeft tientallen drivers gesigneerd die door rootkits en andere malware zijn gebruikt voor het uitschakelen van beveiligingssoftware en Windows User Account Control, alsmede het onderscheppen van netwerkverkeer. Het techbedrijf heeft een update voor Windows uitgebracht die ervoor zorgt dat de drivers niet meer zijn te gebruiken. Ook zijn de accounts van de betreffende driver-ontwikkelaars geschorst.

Vanaf Windows 10 moeten alle drivers via het Windows Hardware Developer Center Dashboard portal gesigneerd zijn. Ontwikkelaars moeten hiervoor een account aanmaken, en aan verschillende eisen voldoen, voordat ze hun driver kunnen indienen. Microsoft controleert vervolgens de driver en zal die als alles goed is signeren. Verschillende malafide partijen hebben het Windows Hardware Developer Program misbruikt om hun malafide drivers door Microsoft gesigneerd te krijgen. Het gaat om meer dan honderd drivers bij elkaar.

Een aanvaller die de driver wil gebruiken moet wel al beheerdersrechten op een gecompromitteerd systeem hebben. De malafide drivers werden door antivirusbedrijven Sophos en Trend Micro en netwerkbedrijf Cisco ontdekt. Volgens Sophos valt het grootste deel van de drivers in de categorie "Endpoint protection killers", bedoeld om beveiligingssoftware op het systeem uit te schakelen. De andere drivers waren rootkits, gebruikt voor het onderscheppen van netwerkverkeer en het uitschakelen van User Account Control.

Naast het uitbrengen van een update waardoor de drivers niet meer werken zegt Microsoft ook maatregelen te nemen om toekomstig misbruik van het Windows Hardware Developer Program tegen te gaan. Afgelopen december bleek ook al dat criminelen misbruik van het programma hadden gemaakt.