微软在签署恶意 Rootkit 后完善第三方驱动程序审查流程

在最近发生一起事件后，微软正在完善其通过 Windows 硬件兼容性计划 (WHCP) 认证驱动程序的政策和流程，在该事件中，该公司似乎无意中签署了一个恶意驱动程序，该驱动程序后来在中国的游戏环境中分发。

在微软安全响应中心 (MSRC) 周五的一篇博客文章中，微软表示正在调查这起事件，其中一个账户通过 WHCP 提交了驱动程序进行认证。微软没有明确确认它已经签署了————因此验证为可信————至少一个恶意驱动程序。然而，微软表示已暂停提交驱动程序一方的帐户，并审查了他们提交的其他恶意软件。

该公司指出他们没有看到 WHCP 签名证书被暴露的证据、基础设施没有受到损害、 微软没有提供任何关于攻击者如何设法让恶意驱动程序通过公司安全检查的额外细节。

该事件是安全专家所说的网络威胁行为者越来越多地针对软件供应链的最新例子。自去年 12 月 SolarWinds 披露其软件构建系统遭到入侵以来的几个月中，供应链安全问题不仅在行业内而且在政府圈子中都受到越来越多的关注。一个显示对该主题感到担忧的例子是拜登总统于 5 月签署的一项行政命令中的一项规定，该命令要求联邦民事机构维护受信任的源代码供应链和全面的软件材料清单。

解决方案架构副总裁 Chris Clements 说：“我认为好消息是，这次曝光是微软的一个过程失败，在数字签名之前没有将驱动程序识别为恶意，而不是微软签名证书本身的妥协”。他说，签名证书的泄露将允许攻击者以与微软本身无法区分的方式签署他们想要的任意数量的驱动程序。

G Data 的安全分析师 Karsten Hahn 是第一个在微软检测到恶意驱动程序的人。据 Hahn 称，G Data 的恶意软件警报系统通知该公司有关 Microsoft 签名的名为 Netfilter 的驱动程序存在潜在问题。经过仔细检查，发现 rootkit 将流量重定向到位于中国的 IP 地址。独立恶意软件研究员Johann Aydinbas 被Hahn 认定为围绕 Netfilter 的研究做出了贡献，他将驱动程序描述为主要用于 SSL 窃听、IP 重定向以及将根证书安装到系统注册表。

微软表示恶意软件作者的目标是使用驱动程序来欺骗他们的地理位置，以便他们可以从任何地方玩游戏。“恶意软件使他们能够在游戏中获得优势，并可能通过键盘记录器等常用工具破坏他们的帐户来利用其他玩家。” 该公司已更新其 Microsoft Defender 防病毒产品并针对其他安全供应商的威胁分发签名。

ImmuniWeb 的创始人、首席执行官兼首席架构师 Ilia Kolochenko 表示，最新事件是一个很好的例子，说明为什么组织需要转向零信任安全模型，其中所有软件和外部实体都被认为是不可信的，因此需要认真验证、测试和持续监测。“业界知道许多类似的事件，例如，当 Android 或 iOS 移动应用程序获准在官方应用程序商店托管但包含复杂的恶意软件、间谍软件或侵犯隐私的未记录功能时，”Kolochenko 说。