A A+ A++

Sterownik dla Windows ze złośliwym oprogramowaniem zdobył certyfikat bezpieczeństwa Microsoftu. Jak to się stało i jakie szkody może powodować?

Na sterownik o nazwie FiveSys uwagę zwrócili specjaliści Bitdefender. Zauważyli oni, że choć ma ona legalny podpis cyfrowy Microsoftu, to dla systemu Windows nie jest żadnym przydanym dodatkiem. Działa jak infekcja typu rootkit, jedno z zagrożeń charakterystycznych dla ataków malware.

Jak działa rootkit, którym jest wtyczka sygnowana przez Microsoft?

Celem funkcjonowania programu rootkit  jest przekierowanie ruch internetowego na przygotowany serwer proxy. Przeglądarka nie jest w stanie zweryfikować nieprawidłowej łączności, ponieważ oprogramowanie instaluje w zainfekowanym systemie ścieżkę certyfikatu głównego dla niepożądanego serwera. Dzięki temu użytkownik nie zobaczy alertu o podejrzanym proxy, niezależnie czy łączy się po http, czy po https.

Wtyczka FiveSys miała jeszcze jedną dodatkową funkcję: nie dopuszczała do zmian w rejestrze Windows. Dzięki temu aktywnie walczyła z ewentualną konkurencją, która chciałaby zainfekować system, w którym się zadomowiła.

Jak wtyczki dla Windows  otrzymują certyfikację Microsoftu?

Sterowniki dla Windows to popularne rozwiązanie, które uchodzi za bardzo bezpieczne. Chociaż programiści Microsoftu nie przykładają do nich ręki, to istnieje Windows Hardware Compatibility Program (WHCP). Uczestniczący w nim twórcy oprogramowania  mogą starać się o wydanie swoim produktom certyfikatu Windows Hardware Quality Labs (WHQL). Jego otrzymanie oznacza, że MS gwarantuje kompatybilność i bezpieczeństwo wtyczki.

Taką ścieżkę certyfikacji przeszła wtyczka FiveSys, która jest oprogramowaniem złośliwym. Za winnego wydania certyfikatu WHQL są prawdopodobnie procedury weryfikacji stosowane przez Microsoft. Choć gigant z Redmond nie przesłał użytkownikom Windows infekcji, to ją zarekomendował. Tym samym jeszcze poważniej naraził ich bezpieczeństwo.

Jakie znaczenie ma wydanie certyfikatu bezpieczeństwa MS dla złośliwego oprogramowania?

Od około doby uwierzytelnienie Microsoftu dla wtyczki FiveSys jest wycofane. Ona też rozpowszechniła się głównie wśród chińskich użytkowników  Internetu i dla właścicieli komputerów z systemem Windows w innych rejonach świata nie miała większego znaczenia. Mimo to, sytuacja, w której Microsoft uznaje złośliwe oprogramowanie za bezpieczne, jest ogromnym zagrożeniem dla każdego użytkownika końcowego.

Wirus naraża  bezpośrednio, ale opatrzony certyfikatem WHQL nie jest możliwy do identyfikacji przez oprogramowanie antywirusowe. Cyfrowa sygnatura Microsoftu musi skutkować uznaniem programu za bezpieczny, ponieważ jej umieszczenie wyklucza możliwość powiązania go z odpowiedzialnym za produkt programistą. Alternatywą byłoby wykluczenie z użycia wszystkiego, co Microsoft uwierzytelnia, a to skutkowałoby bezużytecznością.

Źródło: Bitdefender

Przeczytaj także:
Oryginalne źródło: ZOBACZ
0komentarze
0
Udostępnij na fb
Udostępnij na twitter
Udostępnij na WhatsApp

Oryginalne źródło ZOBACZ

Subskrybuj
Powiadom o

Dodaj kanał RSS

Musisz być zalogowanym aby zaproponować nowy kanal RSS

Dodaj kanał RSS
0 komentarzy
Informacje zwrotne w treści
Wyświetl wszystkie komentarze
Poprzedni artykułMarieta Żukowaka wygina się przed obiektywem. Założyła tylko kabaretki, szpilki i body
Następny artykułKALENDARIUM Centrum Kultury w Piasecznie – LISTOPAD 2021