Malware: Microsoft signiert Rootkit

Eigentlich kontrolliert und zertifiziert Microsoft Treiber, um vor Schadsoftware zu schützen. Beim Netfilter-Rootkit ging dies gehörig schief.

Artikel veröffentlicht am ,
Eigentlich soll die Microsoft-Signatur ein Bollwerk gegen Schadsoftware sein ...
Eigentlich soll die Microsoft-Signatur ein Bollwerk gegen Schadsoftware sein ... (Bild: manseok/Pixabay)

Bei einem vermeintlichen Windows-Treiber mit dem Namen Netfilter handelt es sich in Wirklichkeit um Schadsoftware, die allerdings von Microsoft zertifiziert wurde. Der Windows-Hersteller hat den Vorfall mittlerweile bestätigt und zugegeben, die Schadsoftware zertifiziert zu haben.

Stellenmarkt
  1. Senior IT-Systems Engineer und Project Manager (m/w/d)
    LEIFHEIT AG, Nassau an der Lahn
  2. Principal Project Manager IT "S / 4HANA Transformation" (m/w/d)
    Deutsche Gesellschaft für Internationale Zusammenarbeit (GIZ) GmbH, Eschborn
Detailsuche

"Seit Windows Vista muss jeder Code, der im Kernel-Modus läuft, vor der öffentlichen Freigabe getestet und signiert werden, um die Stabilität des Betriebssystems zu gewährleisten", schreibt Karsten Hahn, Malware-Analyst bei der Sicherheitsfirma GData. Treiber ohne ein Microsoft-Zertifikat könnten standardmäßig nicht ausgeführt werden.

Entsprechend sei er anfangs von einem False-Positive-Alarm ausgegangen, als er die signierte Schadsoftware Netfilter entdeckte. Doch schnell habe sich herausgestellt, dass es sich um ein Rootkit handle. Entsprechend habe man Microsoft und die Öffentlichkeit informiert. In einem Blogeintrag nennt er zudem weitere Details zu der Schadsoftware.

Microsoft gibt Zertifizierung der Schadsoftware zu

Auf seiner Webseite erklärt Microsoft, dass der Windows-Hersteller den Schadtreiber tatsächlich signiert hat. Demnach sei dieser zur Zertifizierung durch das Windows Hardware Compatibility Program (WHCP) eingereicht worden. Weitere Details, wie die Schadsoftware durch Microsofts Kontrollen gelangen konnte, nennt der Windows-Hersteller nicht. Das entsprechende Konto sei jedoch gesperrt worden und die Schadsoftware werde untersucht.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

"Die Aktivitäten des Täters beschränken sich auf den Spielesektor speziell in China und scheinen nicht auf Unternehmensumgebungen abzuzielen", schreibt Microsoft. Das Ziel der Schadsoftware sei es, einen anderen Standort vorzutäuschen und so von überall aus spielen zu können.

Obendrein ermögliche die Schadsoftware, sich Vorteile in Spielen zu verschaffen und möglicherweise die Konten von anderen Spielern zu kompromittieren - beispielsweise mit Keyloggern, erklärt Microsoft. Entsprechend gehe man derzeit nicht davon aus, dass es sich um einen staatlichen Akteur handle, betont Microsoft.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Clubhouse  
3,8 Milliarden Telefonnummern werden im Darknet verkauft

Die Telefonnummern und Kontakte aller Clubhouse-Konten werden wohl im Darknet angeboten. Nummern werden nach ihrer Wichtigkeit eingestuft.

Clubhouse: 3,8 Milliarden Telefonnummern werden im Darknet verkauft
Artikel
  1. iPhone 12: Youtuber findet Akkukapazität von Apples Magsafe-Pack heraus
    iPhone 12
    Youtuber findet Akkukapazität von Apples Magsafe-Pack heraus

    Ein Youtuber nimmt das Apple Magsafe-Akkupack auseinander. Im Video gibt er einen Einblick in die Technik und die Akkuladung des Produktes.

  2. Teilautonomes Fahren: Magna übernimmt Fahrerassistenz-Spezialisten Veoneer
    Teilautonomes Fahren
    Magna übernimmt Fahrerassistenz-Spezialisten Veoneer

    Für insgesamt 3,8 Milliarden US-Dollar will Magna International sein Geschäftsfeld autonome Fahrfunktionen ausbauen und übernimmt Veoneer.

  3. Elon Musk: Tesla Model S bekommt ausschließlich Knight-Rider-Lenkrad
    Elon Musk
    Tesla Model S bekommt ausschließlich Knight-Rider-Lenkrad

    Elon Musk hat klargestellt, dass es für das Model S und das Model X kein normales Lenkrad mehr geben wird. Das D-förmige Lenkrad ist Pflicht.

Oekotex 29. Jun 2021 / Themenstart

Also ich habe schon verstanden, was er sagen wollte. Ist aber auch manchmal nicht leicht...

FleissigeBiene 28. Jun 2021 / Themenstart

Also ich habe vor Jahren für Windows 7 mal Kernel Driver für selbst entwickelte Hardware...

dbettac 28. Jun 2021 / Themenstart

Das klingt erstmal nicht nach Schadsoftware. Ok, wenn tatsächlich noch Keylogger...

Potrimpo 28. Jun 2021 / Themenstart

So ist es. Kochen leider alle nur mit Wasser

Potrimpo 28. Jun 2021 / Themenstart

So wie bei Apple - kann kein Zufall sein

Kommentieren



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • 30% auf Amazon Warehouse • LG 55NANO867NA 573,10€ • Fractal Design Meshify C Mini 69,90€ • Amazon: PC-Spiele von EA im Angebot (u. a. FIFA 21 19,99€) • Viewsonic VG2719-2K (WQHD, 99% sRGB) 217,99€ • Alternate (u. a. Fractal Design Define S2 106,89€) • Roccat Horde Aimo 49€ [Werbung]
    •  /