Microsoft ha firmato un rootkit: cosa significa e come è potuto accadere

Dopo le segnalazioni pervenute alla società nei giorni scorsi Microsoft ha confermato di aver erroneamente apposto la sua firma digitale su una serie di driver dannosi che installavano rootkit sui computer degli ignari utenti.
Il programma Windows Hardware Compatibility Program (WHCP) è un meccanismo ufficiale attraverso il quale Microsoft approva e aggiorna periodicamente una lista di fornitori di driver (si pensi ai produttori di dispositivi hardware) che hanno titolo per pubblicare componenti per Windows senza che agli utenti finali appaia alcuna richiesta di conferma.

Karsten Hahn, ricercatore di G DATA, ha scoperto all’inizio del mese che alcuni rootkit mascherati all’interno di un driver chiamato Netfilter (fornito in particolare ai gamers) sembravano addirittura approvati da Microsoft.
I driver in questione, una volta caricati sul sistema, configuravano l’utilizzo di un proxy server gestito da un team di criminali informatici e restavano in attesa di comandi da un sistema posto fisicamente in Cina.

Nella sua nota ufficiale Microsoft ha confermato quanto scoperto da Hahn e ha condiviso ulteriori dettagli sull’identità dei criminali informatici che hanno utilizzato WHCP per distribuire i pericolosi rootkit firmati digitalmente.

Per fortuna, come spiega l’azienda di Redmond, il bersaglio primario non sono le aziende ma gli appassionati di gaming. Sui sistemi di questi ultimi sono stati comunque attivati keylogger per registrare e trasferire sui server remoti tutte le informazioni digitate da tastiera. Se lo stesso schema venisse utilizzato per lanciare attacchi verso le realtà aziendale e sottrarre dati riservati sarebbe davvero drammatico.

Da parte sua Microsoft ha sospeso l’account utilizzato per distribuire i driver attraverso WHCP e ha esaminato gli altri driver per individuare eventuali segnali circa la presenza di malware. Al momento l’aggressione sembra circoscritta.

I malware writer spesso acquistano da terzi, sul mercato nero, l’accesso ad account violati o le credenziali per l’utilizzo dei certificati rubati utillizzati poi per firmare i loro componenti dannosi. I driver sono spesso utilizzati nelle campagne malware perché essi permettono di guadagnare facilmente i privilegi amministrativi dopo l’installazione sul sistema.