Microsoft ir paziņojusi, ka Windows aparatūras saderības programmas (WHCP) sertificētais draiveris satur rootkit ļaunprātīgu programmatūru, taču norāda, ka sertifikātu infrastruktūra nav apdraudēta.
Paziņojumā, kas publicēts Microsoft drošības reaģēšanas centrā, uzņēmums apstiprina, ka ir atklājis apdraudēto draiveri un ir apturējis konta darbību, kurā tas sākotnēji tika iesniegts. Kā norādīja Bleeping Computer, šo incidentu, visticamāk, izraisīja koda parakstīšanas procesa vājums.
Microsoft arī apgalvo, ka nav redzējusi nekādus pierādījumus, ka WHCP parakstīšanas sertifikāts būtu apdraudēts, tāpēc maz ticams, ka kāds varētu viltot sertifikāciju.
Rotkit ir paredzēts, lai maskētu tā klātbūtni, padarot to grūti noteikt pat tā darbības laikā. Ļaunprātīgu programmatūru, kas paslēpta saknes komplektā, var izmantot, lai nozagtu datus, mainītu pārskatus, pārņemtu kontroli pār inficēto sistēmu un tā tālāk.
Saskaņā ar Microsoft, šķiet, ka draivera ļaunprogrammatūra ir paredzēta izmantošanai tiešsaistes spēlēs un var maldināt lietotāja ģeogrāfisko atrašanās vietu, ļaujot viņam spēlēt no jebkuras vietas. Tas var arī ļaut viņiem apdraudēt citu spēlētāju kontus, izmantojot taustiņu bloķētājus.
Saskaņā ar Drošības reaģēšanas centra ziņojumu: "Aktiera darbība attiecas tikai uz spēļu nozari, īpaši Ķīnā, un šķiet, ka tā nav vērsta uz uzņēmumu vidi." Tajā arī norādīts, ka draiveris ir jāinstalē manuāli, lai tas būtu efektīvs.
Ja vien sistēma jau nav apdraudēta un uzbrucējam nav piešķirta administratora piekļuve vai lietotājs pats to nedara ar nolūku, nav reāla riska.
Microsoft arī saka, ka draiveri un ar to saistītos failus atklās un bloķēs MS Defender for Endpoint. Ja domājat, ka esat lejupielādējis vai instalējis šo draiveri, drošības reaģēšanas centra pārskatā varat pārbaudīt “Kompromisa indikatori”.
