遊戲玩家請注意!內含惡意軟體的 Netfilter 驅動程式竟然取得微軟簽章

作者 | 發布日期 2021 年 06 月 29 日 9:00 | 分類 Microsoft , 網路 , 資訊安全 Telegram share ! follow us in feedly


作業系統開發商多半會提供程式碼簽章來幫助你避開惡意軟體,但微軟(Microsoft)可能無意破壞了簽章建立的信任。網安新聞網站《BleepingComputer》表示,微軟證實的確認證簽署 Windows 第三方驅動程式 Netfilter,然而程式潛藏在遊戲社群散播的 rootkit 惡意軟體。正如安全研究員 Karsten Hahn 幾天前發現,儘管明明連接到中國惡意軟體 C&C 主控伺服器,但還是通過 Windows 硬體相容性方案(Windows Hardware Compatibility Program,WHCP)。 

目前尚不清 rootkit 如何通過微軟憑證簽章流程,不過微軟表示正在調查來龍去脈,並將「完善」整個簽章流程、合作夥伴存取政策和驗證機制。沒有證據表明惡意軟體作者竊取憑證,且微軟也不相信這是國家贊助的駭客所為。

驅動程式製造商中國寧波卓智創新網絡科技公司(Ningbo Zhuo Zhi Innovation Network Technology)正與微軟合作,研究並修補任何已知的安全漏洞,包括受影響的硬體。用戶將能透過 Windows 更新取得乾淨無毒的驅動程式。

微軟表示,這個惡意驅動程式的影響有限。攻擊目標是遊戲玩家,目前還沒有發現有攻擊劫持企業用戶的消息。此外 rootkit 只能在「弱點攻擊之後」運作,根據微軟的說法,駭客需要在 PC 取得管理員等級的存取權限才能安裝驅動程式。換句話說,Netfilter 應該不致構成什麼威脅,除非惡意驅動程式處心積慮載入系統。

即便如此,這起事件還是無法讓人完全放心。因為許多人會把簽章過的驅動程式視為安全的強力保證。一旦這些用戶開始擔心可能會有惡意軟體,即使這些驅動程式直接來自官方製造商,仍可能猶豫是否安裝新驅動程式。

(首圖來源:Coolcaesar, CC BY-SA 4.0, via Wikimedia Commons)