Malware schlüpft durch Microsofts Sicherheitskontrolle

30. Juni 2021, 12:03
  • international
  • security
  • breach
  • microsoft
image

Der Softwareriese hat ein böswilliges Rootkit signiert, welches dadurch unbemerkt auf PCs installiert werden konnte.

Seit rund 13 Jahren prüft Microsoft im Rahmen des Windows Hardware Compatibility Program (WHCP) Treiber und anderen Code, den Drittpersonen für den Windows Kernel schreiben auf seine Sicherheit und Kompatibilität hin. Wenn Microsoft kein Problem findet, erhält der Code den Segen des Softwareriesen in Form eines digitalen Zertifikats. Dieses erlaubt es, dass sich die betreffende Software ohne Warnmeldung und ohne Zutun eines Users auf einem Windows-PC installieren kann.
Nun ist eine Malware unentdeckt durch den Prüfungsprozess von Microsoft gerutscht. Bemerkt hat dies als erster ein Security-Experte von G Data. Seine Malware-Detektoren schlugen Alarm bei einem Treiber namens Netfilter. Zuerst hielt der Experte dies für einen Fehlalarm. Aber eine genauere Prüfung ergab, dass es sich tatsächlich um Malware handelt. Laut dem G-Data-Mann ist es ein Rootkit, das nicht in File-Verzeichnissen oder der Taskleiste angezeigt wird. Es installiere ein eigenes Root-Zertifikat, was ihm erlaube, verschlüsselt Daten an einen Server des oder der Hacker zu senden. Es könne sich in SSL-Verbindungen einklinken und sie abhören oder umleiten.
Wie Microsoft aufgrund der Hinweise des G-Data-Mannes in einem Blogpost schrieb, gebe es keine Hinweise darauf, dass sein Signatur-Zertifikat für Microsoft-Zertifikate selbst kompromittiert worden sei. Darüber, wie das Programm durch die Microsoft-Kontrollen kommen und ein legitimes Zertifikat erhalten konnte, äussert sich der Softwarehersteller aber nicht.
Laut Microsoft haben es die Übeltäter, die diese Malware entwickelt haben, nicht auf Unternehmen oder generell auf Privatpersonen abgesehen, sondern spezifisch auf Online-Games und Gamer. Die Malware ermögliche es ihnen, Geo-Lokations-Einschränkungen zu umgehen und von überall aus zu spielen. Ausserdem könnten sie sich dadurch beim Spielen Vorteile gegenüber anderen Gamern einheimsen oder auch deren Accounts durch den Einsatz von Keyloggern kompromittieren.
Die Signatur von Netfilter wurde in Windows Defender integriert und auch anderen Herstellern von Antiviren-Software übermittelt.
Auch wenn es sich tatsächlich um vergleichsweise harmlose Übeltäter handelt, ist der Lapsus von Microsoft gravierend. Wenn Hacker wie beispielsweise Ransomware-Gangs es schaffen würden, ihre Malware durch den Testprozess von Microsoft zu schleusen, könnte dies schwerwiegende Folgen haben.

Loading

Mehr zum Thema

image

APIs bei Twitter werden kostenpflichtig

Schon in weniger als einer Woche werden Entwicklerinnen und Entwickler zur Kasse gebeten. Ein Preismodell gibts noch nicht.

publiziert am 3.2.2023
image

Cyberangriff auf die Uni Zürich

Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.

publiziert am 3.2.2023
image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

DXC hofft auf Turnaround im kommenden Jahr

Der Umsatz des IT-Dienstleisters ist im abgelaufenen Quartal erheblich geschrumpft. Im nächsten Geschäftsjahr soll es aber wieder aufwärts gehen, sagt der CEO.

publiziert am 2.2.2023