Microsoft har uppgett att en drivrutin som certifierats av Windows Hardware Compatibility Program (WHCP) befanns innehålla skadlig programvara för rootkit, men säger att certifikatinfrastrukturen inte äventyrades.
I ett uttalande som publicerats i Microsofts Security Response Center bekräftar företaget att det upptäckte den komprometterade drivrutinen och har stängt av kontot som ursprungligen skickade in den. Som påpekat av Bleeping Computer, orsakades denna incident sannolikt av en svaghet i själva kodsigneringsprocessen.
Microsoft säger också att de inte har sett några bevis för att WHCP-signeringscertifikatet äventyras, så det är osannolikt att någon kunde falska certifieringen.
Ett rootkit är utformat för att maskera dess närvaro, vilket gör det svårt att upptäcka även när det är igång. Skadlig programvara gömd i ett rootkit kan användas för att stjäla data, ändra rapporter, ta kontroll över det infekterade systemet och så vidare.
Enligt Microsoft verkar förarens skadliga programvara avsedd för användning med onlinespel och kan förfalska användarens geolokalisering så att de kan spela var som helst. Det kan också låta dem äventyra andra spelares konton genom att använda keyloggers.
Enligt rapporten från Security Response Center, "Skådespelarens aktivitet är begränsad till spelsektorn specifikt i Kina och verkar inte rikta sig mot företagsmiljöer." Det står också att drivrutinen måste installeras manuellt för att vara effektiv.
Om inte ett system redan har äventyrats och ger administratörsbehörighet till en angripare, eller om användaren själv gör det med flit, finns det ingen verklig risk.
Microsoft säger också att drivrutinen och dess associerade filer kommer att upptäckas och blockeras av MS Defender for Endpoint. Om du tror att du kan ha laddat ner eller installerat den här drivrutinen kan du kontrollera "Indikatorer för kompromiss" i rapporten Security Response Center.
