微軟在簽署惡意 Rootkit 后完善第三方驅動程序審查流程

在最近發生一起事件后，微軟正在完善其通過 Windows 硬件兼容性計劃 (WHCP) 認證驅動程序的政策和流程，在該事件中，該公司似乎無意中簽署了一個惡意驅動程序，該驅動程序后來在中國的游戲環境中分發。

在微軟安全響應中心 (MSRC) 周五的一篇博客文章中，微軟表示正在調查這起事件，其中一個賬戶通過 WHCP 提交了驅動程序進行認證。微軟沒有明確確認它已經簽署了————因此驗證為可信————至少一個惡意驅動程序。然而，微軟表示已暫停提交驅動程序一方的帳戶，并審查了他們提交的其他惡意軟件。

該公司指出他們沒有看到 WHCP 簽名證書被暴露的證據、基礎設施沒有受到損害、 微軟沒有提供任何關于攻擊者如何設法讓惡意驅動程序通過公司安全檢查的額外細節。

該事件是安全專家所說的網絡威脅行為者越來越多地針對軟件供應鏈的最新例子。自去年 12 月 SolarWinds 披露其軟件構建系統遭到入侵以來的幾個月中，供應鏈安全問題不僅在行業內而且在政府圈子中都受到越來越多的關注。一個顯示對該主題感到擔憂的例子是拜登總統于 5 月簽署的一項行政命令中的一項規定，該命令要求聯邦民事機構維護受信任的源代碼供應鏈和全面的軟件材料清單。

解決方案架構副總裁 Chris Clements 說：“我認為好消息是，這次曝光是微軟的一個過程失敗，在數字簽名之前沒有將驅動程序識別為惡意，而不是微軟簽名證書本身的妥協”。他說，簽名證書的泄露將允許攻擊者以與微軟本身無法區分的方式簽署他們想要的任意數量的驅動程序。

G Data 的安全分析師 Karsten Hahn 是第一個在微軟檢測到惡意驅動程序的人。據 Hahn 稱，G Data 的惡意軟件警報系統通知該公司有關 Microsoft 簽名的名為 Netfilter 的驅動程序存在潛在問題。經過仔細檢查，發現 rootkit 將流量重定向到位于中國的 IP 地址。獨立惡意軟件研究員Johann Aydinbas 被Hahn 認定為圍繞 Netfilter 的研究做出了貢獻，他將驅動程序描述為主要用于 SSL 竊聽、IP 重定向以及將根證書安裝到系統注冊表。

微軟表示惡意軟件作者的目標是使用驅動程序來欺騙他們的地理位置，以便他們可以從任何地方玩游戲。“惡意軟件使他們能夠在游戲中獲得優勢，并可能通過鍵盤記錄器等常用工具破壞他們的帳戶來利用其他玩家。” 該公司已更新其 Microsoft Defender 防病毒產品并針對其他安全供應商的威脅分發簽名。

ImmuniWeb 的創始人、首席執行官兼首席架構師 Ilia Kolochenko 表示，最新事件是一個很好的例子，說明為什么組織需要轉向零信任安全模型，其中所有軟件和外部實體都被認為是不可信的，因此需要認真驗證、測試和持續監測。“業界知道許多類似的事件，例如，當 Android 或 iOS 移動應用程序獲準在官方應用程序商店托管但包含復雜的惡意軟件、間諜軟件或侵犯隱私的未記錄功能時，”Kolochenko 說。