Microsoft uvedl, že bylo zjištěno, že ovladač certifikovaný programem Windows Hardware Compatibility Program (WHCP) obsahuje malware rootkit, ale tvrdí, že infrastruktura certifikátů nebyla ohrožena.
V prohlášení zveřejněném v Microsoft Security Response Center společnost potvrzuje, že objevila kompromitovaný ovladač a pozastavila účet, který jej původně odeslal. Jak upozornil Bleeping Computer, tento incident byl pravděpodobně způsoben nedostatkem samotného procesu podepisování kódu.
Microsoft také říká, že neviděl žádné důkazy o tom, že by podpisový certifikát WHCP byl kompromitován, takže je nepravděpodobné, že by někdo dokázal certifikaci zfalšovat.
Rootkit je navržen tak, aby maskoval jeho přítomnost, takže je obtížné jej detekovat, i když je spuštěn. Malware skrytý uvnitř rootkitu lze použít ke krádeži dat, změně zpráv, převzetí kontroly nad infikovaným systémem atd.
Podle společnosti Microsoft se zdá, že malware ovladače je určen k použití s online hraním a může podvrhnout geolokaci uživatele, aby mohl hrát odkudkoli. Může jim to také umožnit kompromitovat účty ostatních hráčů pomocí keyloggerů.
Podle zprávy Security Response Center: „Aktivita herce je omezena na herní sektor konkrétně v Číně a nezdá se, že by cílila na podniková prostředí.“Také uvádí, že ovladač musí být nainstalován ručně, aby byl účinný.
Pokud systém již nebyl kompromitován a udělil administrátorovi přístup útočníkovi, nebo pokud to uživatel sám neudělá záměrně, neexistuje žádné skutečné riziko.
Microsoft také říká, že ovladač a jeho přidružené soubory budou detekovány a zablokovány aplikací MS Defender for Endpoint. Pokud se domníváte, že jste si tento ovladač stáhli nebo nainstalovali, můžete zkontrolovat „Indicators of Compromise“ve zprávě Security Response Center.
