Oprogramowanie

Microsoft podpisał się pod złośliwym oprogramowaniem dla Windows

przeczytasz w 2 min.

Sterownik dla Windows ze złośliwym oprogramowaniem zdobył certyfikat bezpieczeństwa Microsoftu. Jak to się stało i jakie szkody może powodować?

Na sterownik o nazwie FiveSys uwagę zwrócili specjaliści Bitdefender. Zauważyli oni, że choć ma ona legalny podpis cyfrowy Microsoftu, to dla systemu Windows nie jest żadnym przydanym dodatkiem. Działa jak infekcja typu rootkit, jedno z zagrożeń charakterystycznych dla ataków malware.

Jak działa rootkit, którym jest wtyczka sygnowana przez Microsoft?

Celem funkcjonowania programu rootkit  jest przekierowanie ruch internetowego na przygotowany serwer proxy. Przeglądarka nie jest w stanie zweryfikować nieprawidłowej łączności, ponieważ oprogramowanie instaluje w zainfekowanym systemie ścieżkę certyfikatu głównego dla niepożądanego serwera. Dzięki temu użytkownik nie zobaczy alertu o podejrzanym proxy, niezależnie czy łączy się po http, czy po https.

Wtyczka FiveSys miała jeszcze jedną dodatkową funkcję: nie dopuszczała do zmian w rejestrze Windows. Dzięki temu aktywnie walczyła z ewentualną konkurencją, która chciałaby zainfekować system, w którym się zadomowiła.

Jak wtyczki dla Windows  otrzymują certyfikację Microsoftu?

Sterowniki dla Windows to popularne rozwiązanie, które uchodzi za bardzo bezpieczne. Chociaż programiści Microsoftu nie przykładają do nich ręki, to istnieje Windows Hardware Compatibility Program (WHCP). Uczestniczący w nim twórcy oprogramowania  mogą starać się o wydanie swoim produktom certyfikatu Windows Hardware Quality Labs (WHQL). Jego otrzymanie oznacza, że MS gwarantuje kompatybilność i bezpieczeństwo wtyczki.

Taką ścieżkę certyfikacji przeszła wtyczka FiveSys, która jest oprogramowaniem złośliwym. Za winnego wydania certyfikatu WHQL są prawdopodobnie procedury weryfikacji stosowane przez Microsoft. Choć gigant z Redmond nie przesłał użytkownikom Windows infekcji, to ją zarekomendował. Tym samym jeszcze poważniej naraził ich bezpieczeństwo.

Użytkownik Windows

Jakie znaczenie ma wydanie certyfikatu bezpieczeństwa MS dla złośliwego oprogramowania?

Od około doby uwierzytelnienie Microsoftu dla wtyczki FiveSys jest wycofane. Ona też rozpowszechniła się głównie wśród chińskich użytkowników  Internetu i dla właścicieli komputerów z systemem Windows w innych rejonach świata nie miała większego znaczenia. Mimo to, sytuacja, w której Microsoft uznaje złośliwe oprogramowanie za bezpieczne, jest ogromnym zagrożeniem dla każdego użytkownika końcowego.

Wirus naraża  bezpośrednio, ale opatrzony certyfikatem WHQL nie jest możliwy do identyfikacji przez oprogramowanie antywirusowe. Cyfrowa sygnatura Microsoftu musi skutkować uznaniem programu za bezpieczny, ponieważ jej umieszczenie wyklucza możliwość powiązania go z odpowiedzialnym za produkt programistą. Alternatywą byłoby wykluczenie z użycia wszystkiego, co Microsoft uwierzytelnia, a to skutkowałoby bezużytecznością.

Źródło: Bitdefender

Komentarze

7
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    hegazi
    10
    Ten rootkit nie nazywa się czasem Windows 11?
    • avatar
      Kenjiro
      5
      Chyba autor nieco popłynął we wnioskach. Certyfikat WHQL nie ma nic wspólnego z identyfikacją przez oprogramowanie AV. Certyfikat się KUPUJE (np. w MS) i przechodzi procedurę certyfikacji WHQL, która polega na przesłaniu gotowego sterownika do MS, który AUTOMATYCZNIE testuje ów sterownik, czy nie wywala ich systemów (najprawdopodobniej w specjalnie przygotowanych VM). Na tym koniec, niczego więcej MS nie potwierdza, a tylko tyle, że sterownik jakoś tam działa.
      Oczywiście, dobrze byłoby, gdyby MS skanował otrzymane sterowniki, badał ich zachowanie, dekompilował itp., ale tego nie robi, albo robi pobieżnie, tzn. automatycznie. Jeszcze lepiej byłoby, aby MS otrzymywał źródło sterownika do wglądu, ale to już jest niemożliwe, ze względu na prawa autorskie, patenty itp.
      • avatar
        xxx.514
        2
        Ah ten windows... Mnie najbardziej rozśmieszyło jak świeżo po zainstalowaniu 10 właścicielem dysku nie byłem ja - administrator systemu - tylko jakiś trusted installer - swoją drogą od razu wygląda to na dobrą nazwę dla szkodnika - całe szczęście nie stawiał oporu przed wywłaszczeniem. A tu proszę, MS autoryzuje szkodniki, nie ma co, świetne podejście do użytkowników :D
        • avatar
          tulika
          -1
          Dobra, dzieciaki... A jak niby Microsoft miałby to zrobić, żeby być na 100% że taki sterownik wysłany do certyfikacji to nie malware? Przecież kod może zawierać datę inicjacji jakiegoś fragmentu z przyszłości czy w jakichś określonych warunkach. Musieliby by robić reverse engineering do czego nie mają praw, albo dostać kod źródłowy, a przede wszystkich tabuny specjalistów, którzy by to analizowali... Jedyne co mogą zrobić to użyć skanerów z bieżącymi bazami co pewnie i tak robią...

          To co jest istotne tutaj, to fakt, że jak ktoś wysyła sterownik do certyfikacji, to oczywiście może coś tam paskudnego ukryć, ale nie zostanie anonimowy...