NEWS

Rootkit

Microsoft selbst signiert Schadsoftware

Portrait des Authors


Microsoft selbst signiert Schadsoftware
12

Werbung

Wie Microsoft jetzt über seine Webseite bekannt gegeben hat, signierte der Hersteller den Windows-Treiber Netfilter. Allerdings handelte es sich bei der genannten Software um ein Rootkit. Die Schadsoftware wurde von den Kriminellen beim Hardware Compatibility Program (WHCP) eingereicht und hat die dortige Prüfung bestanden. Aktuell ist unklar, warum Microsoft den vermeintlichen Treiber nicht als Rootkit enttarnen konnte. Laut Angaben von Microsoft ist die Software dazu fähig, den Standort des Nutzers zu verschleiern und ermöglicht Nutzwern den Betrieb von chinesischen Spielen. Außerdem ist Netfilter in der Lage, Spielerkonten zu kompromittieren. Hier setzen die Kriminellen auf einen Keylogger, um die Login-Daten abzugreifen. 

Das Angriffsfeld der Schadsoftware scheint derzeit noch eingeschränkt zu sein. "Die Aktivitäten des Täters beschränken sich auf den Spielesektor speziell in China und scheinen nicht auf Unternehmensumgebungen abzuzielen" – so wird Microsoft von Golem zitiert. Die Entwickler könnten die Software aber weiter aufbohren, um auch Daten von Unternehmen zu erbeuten. Dank der Zertifizierung durch Microsoft lässt sich der vermeintliche Treiber problemlos ausführen. Seit Windows Vista wird Code, der im Kernel-Modus läuft, vor der öffentlichen Freigabe getestet und anschließend signiert. Andernfalls können die Treiber nicht ausgeführt werden.

Das Unternehmen gab zudem bekannt, dass man die Öffentlichkeit darüber informieren wird, sobald man das Zertifizierungsprogramm verbessert hat. Derzeit sollen Nutzer keine gesonderten Sicherheitsmaßnahmen ergreifen. Microsoft empfiehlt lediglich die gängigen Sicherheitspraktiken anzuwenden und die eigene Antiviren-Software, wie zum Beispiel den Windows Defender, aktuell zu halten. 

Neben den Hashes hat Microsoft auch IP-Adressen veröffentlicht, von denen die Angreifer auf die Systeme der Opfer zugreifen. Diese finden sich hier. Diese wurden zudem laut eigenen Angaben mit den AV-Partnern geteilt. Somit sollten auch andere Antiviren-Programme in der Lage sein, das bösartige Rootkit zu erkennen.

Quellen und weitere Links KOMMENTARE (12) VGWort