マイクロソフト、悪意のあるルートキットを誤って承認してしまう

マイクロソフト社は、ユーザーのコンピューターにルートキットをインストールする一連の悪意のあるドライバーに誤って許可署名し、使用を承認したと発表しました。

G DATA社のセキュリティ研究者であるKarsten Hahn氏が発見したルートキットは、「Netfilter」という名前の一連のドライバーの中に含まれていました。

ハーン氏によると、これらのドライバーは、Windows Hardware Compatibility Program (WHCP)によって署名されていたとのことです。

WHCPとは、マイクロソフト社が特定のベンダーのドライバーをホワイトリストに登録し、セキュリティ検査なしにWindows OS上で実行できるようにする公式システムです。

ハーン氏は、テクニカルレポートの中で、Netfilterドライバーには、感染したホストにプロキシ設定をインストールし、中国にあるサーバーから送られてくるコマンドを待ち受ける機能が含まれていると述べています。

https://www.gdatasoftware.com/blog/microsoft-signed-a-malicious-netfilter-rootkit

ゲームのチート機能に利用された悪意のあるドライバー

Microsoft社は、この問題に関するレポートの中で、Hahn氏の調査結果を確認するとともに、NetfilterルートキットとWHCPプログラムの背後にいる脅威グループについての追加情報を公開しました。

マイクロソフトは、「この攻撃者は中国のゲーム分野に限定されており、企業をターゲットにしているようには思えません。おそらく目的はドライバーを使って位置情報を偽装し、システムを不正に操作してどこからでもプレイできるようにすることです。このマルウェアにより、ゲームを有利に進めることができ、キーロガーなどの一般的なツールを使ってアカウントを侵害することで、他のプレイヤー情報を悪用する可能性もあります」と発表しました。

マイクロソフト社によると、このドライバーがWHCPプログラムに提出されたベンダーアカウントを停止し、このアカウントの他のドライバーにマルウェアの兆候がないかどうかを確認しました。

MSは、今回の事件が高度な国家的行為者の仕業であることを示す兆候はないと述べています。

脅威グループは通常、ダークウェブの専門市場からハッキングされたベンダーアカウントや盗まれた証明書へのアクセス権を購入し、その証明書を使ってマルウェアに署名します。

ドライバは、通常インストール後に管理者レベルのアクセス権を取得し、感染したOSの最深部にアクセスできるため、マルウェア攻撃によく使用されます。典型的な攻撃シナリオでは、攻撃者は単純なマルウェアを使ってシステムにアクセスし、ホストの管理者権限を得るために署名入りのドライバーをインストールしますが、マイクロソフト社は、まさにこのドライバーが使用されていると考えられると述べています。

Leave a Reply

Your email address will not be published.