image

Microsoft signeerde tientallen drivers gebruikt door rootkits en andere malware

woensdag 12 juli 2023, 15:39 door Redactie, 2 reacties

Microsoft heeft tientallen drivers gesigneerd die door rootkits en andere malware zijn gebruikt voor het uitschakelen van beveiligingssoftware en Windows User Account Control, alsmede het onderscheppen van netwerkverkeer. Het techbedrijf heeft een update voor Windows uitgebracht die ervoor zorgt dat de drivers niet meer zijn te gebruiken. Ook zijn de accounts van de betreffende driver-ontwikkelaars geschorst.

Vanaf Windows 10 moeten alle drivers via het Windows Hardware Developer Center Dashboard portal gesigneerd zijn. Ontwikkelaars moeten hiervoor een account aanmaken, en aan verschillende eisen voldoen, voordat ze hun driver kunnen indienen. Microsoft controleert vervolgens de driver en zal die als alles goed is signeren. Verschillende malafide partijen hebben het Windows Hardware Developer Program misbruikt om hun malafide drivers door Microsoft gesigneerd te krijgen. Het gaat om meer dan honderd drivers bij elkaar.

Een aanvaller die de driver wil gebruiken moet wel al beheerdersrechten op een gecompromitteerd systeem hebben. De malafide drivers werden door antivirusbedrijven Sophos en Trend Micro en netwerkbedrijf Cisco ontdekt. Volgens Sophos valt het grootste deel van de drivers in de categorie "Endpoint protection killers", bedoeld om beveiligingssoftware op het systeem uit te schakelen. De andere drivers waren rootkits, gebruikt voor het onderscheppen van netwerkverkeer en het uitschakelen van User Account Control.

Naast het uitbrengen van een update waardoor de drivers niet meer werken zegt Microsoft ook maatregelen te nemen om toekomstig misbruik van het Windows Hardware Developer Program tegen te gaan. Afgelopen december bleek ook al dat criminelen misbruik van het programma hadden gemaakt.

Reacties (2)
13-07-2023, 08:57 door waterlelie
Ontwikkelaars moeten hiervoor een account aanmaken, en aan verschillende eisen voldoen, voordat ze hun driver kunnen indienen. Microsoft controleert vervolgens de driver en zal die als alles goed is signeren.

Microsoft moet niet alleen de accounts van de ontwikkelaars schorsen, maar vooral degenen die de controle niet zorgvuldig hebben uitgevoerd, en op basis van goed vertrouwen deze vermoedelijk ongezien hebben goedgekeurd.
17-07-2023, 06:50 door Anoniem
Zodat de nieuwe medewerkers dezelfde en andere fouten maken?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.