Microsoft ha declarado que se descubrió que un controlador certificado por el Programa de compatibilidad de hardware de Windows (WHCP) contenía malware de rootkit, pero dice que la infraestructura del certificado no se vio comprometida.
En un comunicado publicado en el Centro de respuestas de seguridad de Microsoft, la empresa confirma que descubrió el controlador comprometido y suspendió la cuenta que lo envió originalmente. Como señaló Bleeping Computer, este incidente probablemente fue causado por una debilidad en el proceso de firma de código en sí mismo.
Microsoft también dice que no ha visto evidencia de que el certificado de firma WHCP se haya visto comprometido, por lo que es poco probable que alguien haya podido falsificar la certificación.
Un rootkit está diseñado para enmascarar su presencia, lo que dificulta su detección incluso mientras se está ejecutando. El malware oculto dentro de un rootkit se puede utilizar para robar datos, modificar informes, controlar el sistema infectado, etc.
Según Microsoft, el software malicioso del controlador parece estar destinado a juegos en línea y puede falsificar la geolocalización del usuario para permitirle jugar desde cualquier lugar. También puede permitirles comprometer las cuentas de otros jugadores mediante el uso de keyloggers.
Según el informe del Centro de respuesta de seguridad, "la actividad del actor se limita al sector de los juegos específicamente en China y no parece apuntar a entornos empresariales". También establece que el controlador debe instalarse manualmente para que sea efectivo.
A menos que un sistema ya haya sido comprometido y haya otorgado acceso de administrador a un atacante, o que el propio usuario lo haga a propósito, no existe un riesgo real.
Microsoft también dice que MS Defender for Endpoint detectará y bloqueará el controlador y sus archivos asociados. Si cree que puede haber descargado o instalado este controlador, puede consultar los "Indicadores de compromiso" en el informe del Centro de respuesta de seguridad.
