Kad kibernetički kriminalci modificiraju neku aplikaciju i u nju ubace zlonamjerni sadržaj, stručnjaci za računalnu sigurnost upozoravaju kako korisnici moraju biti oprezni prilikom instalacije aplikacija iz nepoznatog izvora. No, što kad zlonamjerni kod dođe kroz legitimnu aplikaciju koju je certificirao proizvođač?
Upravo se to dogodilo Microsoftu, koji je dao odobrenje za distribuciju zlonamjernog koda za distribuciju malwarea kroz svoj Windows Hardware Compatibility Program (WHCP).
Postojanje zlonamjernog koda pod imenom Netfilter, prvo je prijavio istraživač Karsten Hahn, da bi nakon toga Microsoftov odjel za sigurnost prepoznao problem nekoliko dana kasnije.
Od Windows Viste, svaki kod koji se pokreće u kernelu, mora biti testiran i odobren prije puštanja u javnost, kako bi se osigurala stabilnost operativnog sustava. Pokretački programi ne mogu biti installirani bez Microsoftovog certifikata, napisao je Hahn.
To je jedan od razloga zašto kibernetički kriminalci ponekad pokušavaju kompromitirati WHCP certifikate - ljudi su skloniji vjerovati da se radi o legitimnom softveru ako ga je potpisao legitimni proizvođač. No, u ovom slučaju, potpis je zaista došao od Microsofta.
Kako su naveli u službenom blogu, cijela situacija "nije bila baš tako grozna kako se čini na prvi pogled" i kako je Hahn opisao.
Istaknuli su kako je propust samo učinkovit ako ga kriminalci iskoriste za ubacivanje malwarea, nakon što je napadač dobio administrativne ovlasti koje su mu potrebne za ažuriranje i instalaciju zlonamjernog drivera ili ako je korisnika uvjerio da to učini za njega.
Dodali su i kako je, prema svemu sudeći, aktivnost napadača ograničena na gamerski sektor u Kini je im "malware omogućava ostvarivanje prednosti u igrama i potencijalno iskorištavanje drugih igrača kompromitiranjem njihovih računa kroz uobičajene alate kao što su keyloggeri".
Na kraju su istkanuli kako su suspendirali račun neidentificiranog autora Netfilter drivera, blokirali aktivaciju tog drivera te podijelili informaciju proizvođačima antivirusnih programa.
Naveli su i što napraviti u slučaju da su korisnici već instalirali sporni driver i dobili Netfilter.
No, iako je Microsoft priznao svoju pogrešku i reagirao blokadom drivera, postavlja se pitanje logike provjere drivera u Microsoftu, kad im se može potkrasti ovakva greška. Po čemu je onda instalacija drivera koji je Microsoft odobrio sigurnija od drivera iz drugih izvora?
