Microsoft gần đây đã được tin tức vì thông báo Windows 11 vào ngày 24 tháng 6 năm nay. Nhưng đó không phải là lý do duy nhất khiến nó trở thành chủ đề thảo luận của mọi người. Có một số lý do khác như nhiều bản cập nhật mà nó đã phát hành cùng với thông tin phần mềm độc hại đã được tiết lộ gần đây.
Trung tâm Phản hồi Bảo mật của Microsoft (MSRC) đã thừa nhận rằng họ đã chấp nhận một trình điều khiển có chứa Phần mềm độc hại Rootkit độc hại đang trao đổi dữ liệu với các máy chủ chỉ huy và kiểm soát (C2) ở Trung Quốc. Có vẻ như một số kẻ xấu đã lừa gã khổng lồ Redmond ký một Trình điều khiển Netfilter được thiết kế để nhắm mục tiêu môi trường chơi game. Trình điều khiển được sử dụng để ẩn vị trí địa lý của người chơi và chơi từ bất kỳ khu vực nào.
Trường hợp đầu tiên của phần mềm độc hại này được xác định bởi Karsten Hahn, một nhà phân tích phần mềm độc hại tại công ty an ninh mạng G Data của Đức. "" Kể từ Windows Vista, bất kỳ mã nào chạy ở chế độ hạt nhân đều phải được kiểm tra và ký trước khi phát hành công khai để đảm bảo tính ổn định cho hệ điều hành. " Hahn nói. “Các trình điều khiển không có chứng chỉ Microsoft không thể được cài đặt theo mặc định,” anh ấy tiếp tục.
Chức năng của Phần mềm độc hại này như thế nào?
MSRC giải thích rằng những người có mục đích xấu đã sử dụng phần mềm độc hại này để khai thác các game thủ khác và xâm phạm thông tin đăng nhập tài khoản của họ bằng cách sử dụng keylogger. Họ cũng có thể đã quản lý để hack thông tin khác, bao gồm thông tin thẻ ghi nợ / thẻ tín dụng và địa chỉ email.
Có một điều thú vị là Netfilter là một gói ứng dụng hợp pháp cho phép người dùng kích hoạt tính năng lọc gói và dịch các địa chỉ mạng. Nó cũng có thể thêm chứng chỉ gốc mới, thiết lập máy chủ proxy mới và giúp sửa đổi cài đặt internet.
Sau khi người dùng cài đặt ứng dụng này trên hệ thống của họ, nó sẽ kết nối với máy chủ C2 để nhận thông tin cấu hình và cập nhật. Microsoft cũng giải thích rằng các kỹ thuật được sử dụng trong cuộc tấn công xảy ra sau khai thác, điều này cho thấy rằng đối thủ trước tiên phải giành được đặc quyền quản trị và sau đó cài đặt trình điều khiển trong quá trình khởi động hệ thống.
MSRC cho biết:“Bối cảnh an ninh tiếp tục phát triển nhanh chóng khi các tác nhân đe dọa tìm ra các phương pháp mới và sáng tạo để có được quyền truy cập vào các môi trường trên nhiều lĩnh vực khác nhau,” MSRC cho biết.
Hahn là người chính được ghi nhận trong việc tìm ra phần mềm độc hại nhưng sau đó đã được tham gia bởi các nhà nghiên cứu phần mềm độc hại khác bao gồm Johann Aydinbas, Takahiro Haruyama và Florian Roth. Anh ấy lo lắng về quy trình ký mã của Microsoft và nghi ngờ liệu có phần mềm độc hại nào khác được ẩn trong bộ trình điều khiển được Microsoft phê duyệt hay không.
Mô-đun Operandi của các diễn viên độc hại
Sau khi được thông báo, Microsoft đã thực hiện tất cả các bước cần thiết để điều tra sự cố và thực hiện các biện pháp phòng ngừa để đảm bảo rằng sự cố không xảy ra lần nữa. Microsoft tuyên bố rằng không có bằng chứng cho thấy chứng chỉ ký mã bị đánh cắp đã được sử dụng. Những người đứng sau phần mềm độc hại này đã tuân theo quy trình hợp pháp để gửi trình điều khiển đến Máy chủ của Microsoft và cũng có được mã nhị phân đã ký của Microsoft một cách hợp pháp.
Microsoft tuyên bố rằng các trình điều khiển được xây dựng bởi một nhà phát triển bên thứ ba và đã được đệ trình để phê duyệt thông qua Chương trình Tương thích Phần cứng của Windows. Sau sự cố này, Microsoft đã tạm ngưng tài khoản đã gửi trình điều khiển này và bắt đầu xem xét tất cả các nội dung gửi bởi tài khoản đó ở mức ưu tiên hàng đầu.
Ngoài ra, Microsoft cho biết họ sẽ tinh chỉnh các chính sách truy cập đối tác cũng như quy trình xác nhận và ký kết để tăng cường bảo vệ hơn nữa.
Các điểm kết hợp trên Microsoft chấp nhận đăng nhập vào trình điều khiển Netfilter đã được tải bằng Phần mềm độc hại Rootkit
Microsoft tuyên bố rằng phần mềm độc hại này được tạo ra để tấn công lĩnh vực game ở Trung Quốc và dường như chỉ là công việc của một vài cá nhân. Không có kết nối nào liên kết một tổ chức hoặc doanh nghiệp với phần mềm độc hại. Tuy nhiên, cần phải hiểu rằng bất kỳ mã nhị phân gây hiểu lầm nào như vậy đều có thể bị lợi dụng bởi bất kỳ ai để khởi tạo một phần mềm quy mô lớn
tấn công. Trong quá khứ, các cuộc tấn công như vậy đã được tạo điều kiện như cuộc tấn công Stuxnet tấn công chương trình hạt nhân của Iran. Điều này là do các chứng chỉ được sử dụng để ký mã đã bị đánh cắp từ Realtek và JMicron.
Với việc Microsoft chuẩn bị cho ra mắt Windows 11, sự cố này gây ra một nghi ngờ về độ an toàn và bảo mật mà Microsoft cung cấp cho các hệ điều hành của mình. Bạn nghĩ sao? Hãy chia sẻ suy nghĩ của bạn trong phần bình luận bên dưới. Theo dõi chúng tôi trên mạng xã hội - Facebook, Instagram và YouTube.