Программа сертификации драйверов от сторонних разработчиков в Windows предполагает, что все такое программное обеспечение проходит тщательные проверки на возможные уязвимости и “закладки”, после чего его можно беспрепятственно устанавливать. Однако неизвестным злоумышленникам каким-то образом удалось переиграть специалистов Microsoft.
Процедура “подписания” — то есть верификации — драйверов и приложений в операционных системах служит для того, чтобы пользователи могли быть уверены в безопасности устанавливаемого ПО. Однако, как выяснилось, в случае с Windows полностью полагаться на сертификацию драйверов Microsoft нельзя.
В корпорации признали, что через программу “подписания” драйверов Windows Hardware Compatibility Program (WHCP) успешно прошло программное обеспечение с вредоносной “закладкой”.
Несколько дней назад исследователь в области кибербезопасности из компании G Data Карстен Хан сообщил: распространяемый среди геймеров в Китае сетевой драйвер Netfilter содержит руткит — хакерский инструмент для удаленного управления компьютером. Выдали “закладку” подключения к серверам управления, расположенным в Китае и принадлежащим компании Ningbo Zhuo Zhi Innovation Network Technology, пишет Bleeping Computer.
При этом Netfilter удалось каким-то образом получить цифровую подпись WHCP, благодаря чему зараженный драйвер беспрепятственно устанавливался на компьютеры пользователей. В Microsoft расследуют произошедшее, но пока не обнаружили признаков кражи сертификатов для подписи авторами руткита или причастности к случившемуся хакеров, поддерживаемых на государственном уровне.