Menanggapi apa yang pertama kali tampak sebagai positif palsu, keamanan cyber (terbuka di tab baru) peneliti menangkap driver jahat yang secara resmi ditandatangani oleh Microsoft.
Karsten Hahn, a malware (terbuka di tab baru) analis dengan vendor keamanan Data G (terbuka di tab baru) membuat blog tentang kecerobohan Microsoft, sementara berbagi pengamatannya (terbuka di tab baru) tentang aktivitas berbahaya pengemudi.
Analisis mengungkapkan bahwa driver, bernama Netfilter, sebenarnya adalah rootkit yang mengalihkan lalu lintas ke server perintah dan kontrol (C&C) China.
“Minggu lalu sistem peringatan kami memberi tahu kami tentang kemungkinan false positive karena kami mendeteksi driver bernama ‘Netfilter’ yang ditandatangani oleh Microsoft…Dalam hal ini, deteksinya benar-benar positif, jadi kami meneruskan temuan kami ke Microsoft yang segera menambahkan tanda tangan malware ke Pembela Windows (terbuka di tab baru) dan sekarang sedang melakukan penyelidikan internal,” tulis Hahn.
Sopir jahat
Hahn menjelaskan bahwa, sejak peluncuran Windows Vista, semua kode yang berjalan di ruang kernel perlu diuji dan ditandatangani oleh Microsoft. Sederhananya, driver apa pun yang tidak memiliki stempel persetujuan resmi dari Microsoft tidak dapat diinstal “secara default”.
Sesuai analisis Hahn, driver Netfilter ditandai karena tampaknya tidak memberikan “fungsi yang sah” dan menunjukkan perilaku tidak normal dengan berkomunikasi dengan IP C&C berbasis China.
Berdasarkan Komputer Tidur (terbuka di tab baru), Microsoft telah mengonfirmasi bahwa mereka secara tidak sengaja menandatangani driver jahat, yang didistribusikan di dalam lingkungan game.
Ancaman rantai pasokan perangkat lunak
Hahn menyatakan bahwa Microsoft secara aktif menyelidiki bagaimana pengemudi berhasil melewati proses penandatanganan.
Komputer Tidur menambahkan bahwa raksasa perangkat lunak belum menemukan bukti bahwa driver ditandatangani oleh sertifikat penandatanganan kode yang dicuri. Ini tampaknya menunjukkan bahwa aktor jahat mendapatkan meterai persetujuan setelah proses yang seharusnya.
Ini adalah prospek yang bahkan lebih mengkhawatirkan, karena menunjukkan celah dalam proses penandatanganan driver Microsoft yang mungkin telah dieksploitasi untuk meracuni rantai pasokan perangkat lunak, dengan konsekuensi potensial untuk bisnis dari semua ukuran.
