Microsoft ha dichiarato che un driver certificato dal Programma di compatibilità hardware di Windows (WHCP) conteneva malware rootkit, ma afferma che l'infrastruttura del certificato non è stata compromessa.
In una dichiarazione pubblicata nel Security Response Center di Microsoft, la società conferma di aver scoperto il driver compromesso e di aver sospeso l'account che lo aveva originariamente inviato. Come sottolineato da Bleeping Computer, questo incidente è stato probabilmente causato da una debolezza nel processo di firma del codice stesso.
Microsoft afferma inoltre di non aver visto alcuna prova che il certificato di firma WHCP sia stato compromesso, quindi è improbabile che qualcuno sia stato in grado di falsificare la certificazione.
Un rootkit è progettato per mascherare la sua presenza, rendendolo difficile da rilevare anche mentre è in esecuzione. Il malware nascosto all'interno di un rootkit può essere utilizzato per rubare dati, alterare rapporti, assumere il controllo del sistema infetto e così via.
Secondo Microsoft, il malware del driver sembra destinato all'uso con i giochi online e può falsificare la geolocalizzazione dell'utente per consentire loro di giocare da qualsiasi luogo. Potrebbe anche consentire loro di compromettere gli account di altri giocatori utilizzando i keylogger.
Secondo il rapporto del Security Response Center, "l'attività dell'attore è limitata al settore dei giochi in particolare in Cina e non sembra rivolgersi agli ambienti aziendali". Afferma inoltre che il driver deve essere installato manualmente per essere efficace.
A meno che un sistema non sia già stato compromesso e garantisca l'accesso come amministratore a un utente malintenzionato, o l'utente stesso lo faccia apposta, non c'è alcun rischio reale.
Microsoft dice anche che il driver e i file associati verranno rilevati e bloccati da MS Defender for Endpoint. Se ritieni di aver scaricato o installato questo driver, puoi selezionare "Indicatori di compromissione" nel rapporto del Centro di risposta alla sicurezza.