Microsoft ka qenë në lajme së fundmi për shkak të njoftimit të Windows 11 më 24 qershor të këtij viti. Por kjo nuk është e vetmja arsye pse ka qenë temë për diskutim mes njerëzve. Ka disa arsye të tjera si përditësimet e shumta që ka lëshuar së bashku me informacionin e malware që është zbuluar kohët e fundit.
Microsoft Security Response Center (MSRC) ka pranuar se ka pranuar një drejtues që përfshinte një keqdashës. Malware Rootkit që po shkëmbente të dhëna me serverët e komandës dhe kontrollit (C2) në Kinë. Duket se disa aktorë keqdashës e kanë mashtruar gjigantin Redmond për të nënshkruar një Driver Netfilter i cili ishte krijuar për të synuar mjediset e lojërave. Drejtuesi u përdor për të fshehur vendndodhjen gjeografike të luajtësit dhe për të luajtur nga çdo rajon.
Shendi i parë i këtij malware u identifikua nga Karsten Hahn, një analist i softuerit në kompaninë gjermane të sigurisë kibernetike G Data. ""Që nga Windows Vista, çdo kod që funksionon në modalitetin kernel kërkohet të testohet dhe nënshkruhet përpara publikimit për të siguruar stabilitet për sistemin operativ." deklaroi Hahn. "Driverët pa një certifikatë Microsoft nuk mund të instalohen si parazgjedhje," vazhdoi ai.
Si funksionoi ky malware?
MSRC shpjegoi se njerëzit me qëllime keqdashëse përdorën këtë malware për të shfrytëzuar lojtarë të tjerë dhe për të komprometuar kredencialet e llogarisë së tyre duke përdorur një keylogger. Ata gjithashtu mund të kishin arritur të hakonin informacione të tjera, duke përfshirë informacionin e kartës së debitit/kreditit dhe adresat e emailit.
Është interesante të theksohet se Netfilter është një paketë e ligjshme aplikacioni që lejon përdoruesit të mundësojnë filtrimin e paketave dhe përkthen rrjetin adresat. Ai gjithashtu mund të shtojë certifikata të reja rrënjë, të konfigurojë një server të ri proxy dhe të ndihmojë në modifikimin e cilësimeve të internetit.
Pasi përdoruesit të instalojnë këtë aplikacion në sistemin e tyre, ai u lidh me një server C2 për të marrë informacionin e konfigurimit dhe përditësimet. Microsoft shpjegoi gjithashtu se teknikat e përdorura në sulm ndodhin pas shfrytëzimit, gjë që tregon se kundërshtari duhet së pari të fitojë privilegje administrative dhe më pas të instalojë drejtuesin gjatë fillimit të sistemit.
“Peizazhi i sigurisë vazhdon të evoluojë me shpejtësi ndërsa evoluon me shpejtësi ndërsa Aktorët e kërcënimit gjejnë metoda të reja dhe inovative për të fituar akses në mjedise në një gamë të gjerë vektorësh, "tha MSRC.
Hahn ishte personi kryesor që u vlerësua për gjetjen e malware, por iu bashkua më vonë nga studiues të tjerë të malware, duke përfshirë këtu edhe kërkuesit e tjerë të malware, duke përfshirë këtu. Johan n Aydinbas, Takahiro Haruyama dhe Florian Roth. Ai ishte i shqetësuar për procesin e nënshkrimit të kodit të Microsoft dhe dyshonte nëse kishte ndonjë malware tjetër të fshehur me grupin e drejtuesve të miratuar të Microsoft.
Modus Operandi i Aktorëve Dashakeq
Pasi Microsoft u informua, ajo ka marrë të gjitha hapat e nevojshëm për të hetuar incidentin dhe për të marrë masa parandaluese për të siguruar që ai të mos përsëritet. Microsoft deklaroi se nuk ka prova që certifikatat e vjedhura të nënshkrimit të kodit janë përdorur. Personat që qëndronin pas këtij malware ndoqën procesin e ligjshëm të dërgimit të drejtuesve në serverët e Microsoft-it dhe gjithashtu blenë binarin e nënshkruar nga Microsoft në mënyrë të ligjshme.
Microsoft deklaroi se drejtuesit ishin ndërtuar nga një zhvillues i palës së tretë dhe ishin dorëzuar për miratim nëpërmjet tyre. Programi i përputhshmërisë së harduerit të Windows. Pas këtij incidenti, Microsoft pezulloi llogarinë që e dorëzoi këtë drejtues dhe filloi të shqyrtojë të gjitha paraqitjet e bëra nga ajo llogari me prioritet të lartë.
Për më tepër, Microsoft tha se do të përmirësojë politikat e saj të aksesit të partnerëve, si dhe vlefshmërinë e saj. dhe procesi i nënshkrimit për të përmirësuar më tej mbrojtjen.
Pikat përfundimtare në Microsoft pranon nënshkrimin në drejtuesin e Netfilter i cili ishte i ngarkuar me Rootkit MalwareMicrosoft pretendon se malware është ndërtuar për të sulmuar sektorin e lojrave në Kinë dhe duket se është puna vetëm nga disa individë. Nuk ka lidhje që lidhin një organizatë ose ndërmarrje me malware. Megjithatë, duhet të kuptohet se çdo binar i tillë mashtrues mund të shfrytëzohet nga kushdo për të inicuar një sulm softueri
në shkallë të gjerë. Në të kaluarën, sulme të tilla janë lehtësuar si sulmi Stuxnet që sulmoi programin bërthamor të Iranit. Kjo ndodhi sepse certifikatat e përdorura për nënshkrimin e kodit u vodhën nga Realtek dhe JMicron.
Me përgatitjen e Microsoft për lançimin e Windows 11, ky incident vë në dyshim sigurinë dhe sigurinë që Microsoft ofron me sistemet e tij operative. . Çfarë mendoni ju? Ju lutemi ndani mendimet tuaja në seksionin e komenteve më poshtë. Na ndiqni në rrjetet sociale – .
Lexo: 0
