Microsoft a signé un rootkit malveillant

Le par Jérôme G.  |  2 commentaire(s)

Gros souci dans la chaîne d'approvisionnement. Microsoft a signé numériquement un pilote malveillant. Ce rootkit se cantonne au gaming et a priori en Chine.

windows-securite

Avec signature numérique de Microsoft dans le cadre de son programme de compatibilité matérielle Windows (WHCP ; Windows Hardware Compatibility Program), un driver du nom de Netfilter s'est révélé être un rootkit malveillant tel que qualifié par le chercheur en sécurité Karsten Hahn de G Data.

Dans un rapport, il évoque pour les pilotes Netfilter - Network filter - l'installation d'une configuration proxy et une communication avec des serveurs de commande et contrôle en Chine. La signature par Microsoft avait initialement fait penser à un faux positif.

Selon le groupe de Redmond, l'activité de l'acteur malveillant impliqué est limité au secteur du jeu vidéo et en particulier en Chine. Des environnements d'entreprise n'auraient pas été pris pour cible et l'incident de sécurité ne serait pas l'œuvre d'un acteur étatique.

cybersecurity

Une attaque limitée mais un trou dans la raquette pour WHCP

" L'objectif de l'acteur est d'utiliser le driver pour usurper une géolocalisation afin de tromper le système et jouer de n'importe où. Le malware lui permet de prendre un avantage dans les jeux et éventuellement d'exploiter d'autres joueurs en compromettant leurs comptes à l'aide d'outils comme des keyloggers ", écrit Microsoft.

Le compte du vendeur via lequel le driver a été soumis au programme WHCP a été suspendu et les autres pilotes du compte ont été analysés. L'infrastructure en rapport avec WHCP n'a pas été compromise.

Microsoft précise par ailleurs le blocage du driver et des fichiers associés via Microsoft Defender for Endpoint. Les détections ont été partagées avec les éditeurs tiers de solutions antivirus.

  • Partager ce contenu :
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.
Complément d'information

Vos commentaires

Trier par : date / pertinence
Ulysse2K offline Hors ligne VIP icone 51105 points
Le #2135797
L'utilisateur à Microsoft : "Hé, t'as vu ! Y a un malware dans ton pilote !"
Microsoft : "Ha ouais... Ben désolé ! Question suivante !?"
Devine offline Hors ligne Vétéran icone 1857 points
Le #2135857
Ulysse2K a écrit :

L'utilisateur à Microsoft : "Hé, t'as vu ! Y a un malware dans ton pilote !"
Microsoft : "Ha ouais... Ben désolé ! Question suivante !?"



icone Suivre les commentaires
Poster un commentaire