Wenn Microsoft ausgetrickst werden kann, wie sicher sind wir dann?

Microsoft war in letzter Zeit wegen der Ankündigung von Windows 11 am 24. Juni dieses Jahres in den Nachrichten. Aber das ist nicht der einzige Grund, warum es ein Diskussionsthema unter den Menschen ist. Es gibt noch einige andere Gründe, wie die vielen Updates, die es zusammen mit den kürzlich veröffentlichten Malware-Informationen veröffentlicht hat.

Das Microsoft Security Response Center (MSRC) hat zugegeben, einen Treiber akzeptiert zu haben, der eine bösartige Rootkit-Malware enthielt, die Daten mit Command-and-Control-Servern (C2) in China austauschte. Es scheint, dass bestimmte böswillige Akteure den Redmond-Riesen dazu gebracht haben, einen Netfilter-Treiber zu signieren, der für Spielumgebungen entwickelt wurde. Der Treiber wurde verwendet, um die Geolokalisierung des Spielers zu verbergen und aus einer beliebigen Region zu spielen.

Die erste Instanz dieser Malware wurde von Karsten Hahn, Malware-Analyst des deutschen Cybersicherheitsunternehmens G Data, identifiziert. „“Seit Windows Vista muss jeder Code, der im Kernelmodus ausgeführt wird, vor der Veröffentlichung getestet und signiert werden, um die Stabilität des Betriebssystems zu gewährleisten.“ sagte Hahn. „Treiber ohne Microsoft-Zertifikat können nicht standardmäßig installiert werden“, fuhr er fort.

Microsoft-Zertifikat

Wie hat diese Malware funktioniert?

Malware-Funktion

Der MSRC erklärte, dass Personen mit böswilligen Absichten diese Malware verwenden, um andere Spieler auszunutzen und ihre Kontoanmeldeinformationen mit einem Keylogger zu kompromittieren. Sie könnten auch andere Informationen gehackt haben, einschließlich Debit-/Kreditkarteninformationen und E-Mail-Adressen.

Interessant ist, dass Netfilter ein legitimes Anwendungspaket ist, das es Benutzern ermöglicht, die Paketfilterung zu aktivieren und Netzwerkadressen zu übersetzen. Es kann auch neue Root-Zertifikate hinzufügen, einen neuen Proxy-Server einrichten und helfen, Interneteinstellungen zu ändern.

Nachdem die Benutzer diese Anwendung auf ihrem System installiert hatten, stellte sie eine Verbindung mit einem C2-Server her, um die Konfigurationsinformationen und Updates zu erhalten. Microsoft erklärte auch, dass die bei dem Angriff verwendeten Techniken nach der Ausbeutung auftreten, was darauf hindeutet, dass der Gegner zuerst Administratorrechte erlangen und dann den Treiber während des Systemstarts installieren muss.

„Die Sicherheitslandschaft entwickelt sich schnell weiter, da Bedrohungsakteure neue und innovative Methoden finden, um Zugang zu Umgebungen über eine Vielzahl von Vektoren zu erhalten“, sagte MSRC.

Hahn war die Hauptperson, die die Malware gefunden hatte, aber später kamen weitere Malware-Forscher hinzu, darunter Johann Aydinbas, Takahiro Haruyama und Florian Roth. Er war besorgt über den Code-Signing-Prozess von Microsoft und bezweifelte, dass andere Malware mit den genehmigten Treibern von Microsoft versteckt war.

Der Modus Operandi bösartiger Akteure

Modus Operandi

Nachdem Microsoft informiert wurde, hat Microsoft alle erforderlichen Schritte unternommen, um den Vorfall zu untersuchen und Präventivmaßnahmen zu ergreifen, um sicherzustellen, dass er nicht erneut auftritt. Microsoft erklärte, dass es keine Beweise dafür gebe, dass die gestohlenen Code-Signing-Zertifikate verwendet wurden. Die Leute hinter dieser Malware folgten dem legitimen Prozess der Übermittlung von Treibern an die Server von Microsoft und erwarben auch die von Microsoft signierte Binärdatei legal.

Microsoft gab an, dass die Treiber von einem Drittentwickler erstellt und über das Windows Hardware Compatibility Program zur Genehmigung eingereicht wurden. Nach diesem Vorfall sperrte Microsoft das Konto, das diesen Treiber übermittelte, und begann, alle Übermittlungen dieses Kontos mit höchster Priorität zu überprüfen.

Darüber hinaus sagte Microsoft, dass es seine Partnerzugriffsrichtlinien sowie seinen Validierungs- und Signaturprozess verfeinern wird, um den Schutz weiter zu verbessern.

Abschließende Punkte zu Microsoft akzeptiert die Anmeldung im Netfilter-Treiber, der mit Rootkit-Malware geladen wurde

Microsoft behauptet, dass die Malware entwickelt wurde, um den Gaming-Sektor in China anzugreifen, und scheint nur das Werk einiger weniger Einzelpersonen zu sein. Es gibt keine Verbindungen, die eine Organisation oder ein Unternehmen mit der Malware verbinden. Es muss jedoch klar sein, dass solche irreführenden Binärdateien von jedem ausgenutzt werden können, um eine umfangreiche Software zu initiieren

Attacke. In der Vergangenheit wurden solche Angriffe wie der Stuxnet-Angriff erleichtert, der das iranische Atomprogramm angriff. Dies lag daran, dass die für die Codesignatur verwendeten Zertifikate von Realtek und JMicron gestohlen wurden.

Da Microsoft sich auf den Start von Windows 11 vorbereitet, lässt dieser Vorfall Zweifel an der Sicherheit und der Sicherheit aufkommen, die Microsoft mit seinen Betriebssystemen bietet. Was denken Sie? Bitte teilen Sie Ihre Gedanken im Kommentarbereich unten mit.

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *