Společnost Microsoft se přiznala k omylu, oficiálně totiž udělila certifikaci falešnému ovladači. Malware komunikoval s hackery v Číně a poskytoval jejich škodlivému softwaru v počítači oběti „krytí“.
Falešný ovladač je distribuován pod názvem Netfilter a podle oficiálního vyjádření Microsoftu je šířen zejména v herních komunitách v Číně. Pozornost výzkumníků a bezpečnostní komunity si získal zejména proto, že jde o ovladač s digitálním podpisem přímo od Microsoftu. Mezi prvními o hrozbě informoval analytik Karsten Hahn z firmy G Data.
Snadná instalace díky digitálnímu podpisu
Digitální podpis od Microsoftu způsobí, že při rychlé kontrole hlášení antivirového softwaru může uživatel vyhodnotit malware jako planý poplach. Znamená to totiž, že software musel projít kontrolami firmy.
Mnohem vážnějším důsledkem je však fakt, že samotný operační systém bez výhrad dovolí oběti nainstalovat podvržený ovladač. Stačí jen spustit instalační soubor a potvrdit udělení administrátorských práv.
Mnohem vážnějším důsledkem je však fakt, že samotný operační systém bez výhrad dovolí oběti nainstalovat podvržený ovladač. Stačí jen spustit instalační soubor a potvrdit udělení administrátorských práv. Pokud ovladač digitální podpis od Microsoftu nemá, je velmi nepravděpodobné, že si ho oběť nainstaluje. Je na to totiž nutné restartování počítače do speciálního režimu, případně kompletní vypnutí této ochrany prostřednictvím příkazového řádku.
Operační systém od Microsoftu kontroluje digitální podpisy softwaru, který chce povolení k běh v takzvaném kernel režimu procesoru. Do této kategorie patří mimo jiné ovladače hardwarových zařízení, jako například grafické či zvukové karty.
Chyba při kontrole
Microsoft podle vlastních slov nenašel žádné důkazy o tom, že by došlo ke zneužití nebo padělání jeho certifikátů. Vše proto nasvědčuje tomu, že se hackeři k digitálnímu podpisu dostali standardním způsobem jako legitimní vývojáři. Přihlásili se tedy do programu Windows Hardware Compatibility Program, nahráli svůj podvržený ovladač pro kontrolu a oficiálním způsobem získali od Microsoftu certifikaci.
Firma proto v reakci na události zablokovala příslušný účet v programu Windows Hardware Compatibility Program. Rovněž prověřuje i ostatní software nahraný z tohoto účtu na certifikaci, zda v něm neobjeví známky malwaru.
Malware pro krytí jiných škodlivých programů
Podvržený ovladač je zařazován do skupiny malwaru s názvem „rootkit“. Jde o software, jehož úkolem je poskytovat „krytí“ jiným záškodnickým programům v počítači. V praxi to Netfilter dělal tak, že po kontaktování serveru útočníků si stáhl a do počítače nainstaloval vlastní root certifikát (z anglického „root certificate“).
Operační systém na počítači oběti pak považoval veškerý další software od stejných útočníků za důvěryhodný. Tím se vyhnuli bezpečnostním výstrahám a varováním, které by jinak mohly oběť od instalace jejich malwaru odradit nebo ji přímo zablokovat.
