Malware individuato in oltre 100 driver Windows firmati

I recenti aggiornamenti di sicurezza di Windows (e di altri prodotti Microsoft) sono stati accompagnati da un avviso di Microsoft riguardo alcuni problemi relativi a driver.

I ricercatori di aziende come Sophos, Trend Micro e Cisco, infatti, hanno informato la multinazionale di alcuni malware individuati in un centinaio di driver Windows firmati. Gli stessi, individuati a febbraio 2023, risultavano regolarmente certificati dal Windows Hardware Developer Program di Microsoft.

Nello specifico, si tratta di 133 casi, la maggior parte certificati, con segnalazioni giunte d apiù parti. Alcuni dei driver/certificati, secondo Sophos, risalirebbero persino ad aprile 2021.

Microsoft è intervenuta tempestivamente, bloccando i driver dannosi e individuando i responsabili. Questi sono stati inseriti nell’elenco di revoche Windows Driver.STL, che impedisce il caricamento degli stessi da parte del sistema operativo.

Sia nel contesto domestico che in quello di eventuali server, gli amministratori di sistema sono invitati ad aggiornare sia l’OS che eventuali software di sicurezza di terze parti, per individuare eventuali attività illecite legate ai malware.

Driver Windows firmati potenzialmente pericolosi: ecco cosa hanno scoperto gli esperti

Altri servizi del colosso di Redmond, tra cui Microsoft 365, Azure o Xbox non sono interessati dal problema secondo l’avviso di Microsoft.

Microsoft ha introdotto un criterio in Windows 10 versione 1607 che richiedeva una firma digitale valida per i driver del kernel. I sistemi Windows con Secure Boot abilitato caricano solo questi driver e si rifiutano di caricare qualsiasi driver non firmato digitalmente.

Sophos osserva che molti dei certificati digitali sembrano avere origine cinesi, basandosi sui nomi delle società associate ai certificati.

I ricercatori Sophos hanno scoperto due tipi principali di driver. Alcuni rientravano nella categoria definiti “Endpoint protection killer“, con un caso simile a quello che stiamo trattando, ma scoperti nel 2022. Altri avevano funzionalità simili a rootkit ed erano progettati per funzionare silenziosamente in background.

Tutti i driver dannosi segnalati da Sophos a Microsoft sono stati invalidati e revocati da Microsoft a partire dall’11 luglio 2023. Con Microsoft Defender 1.391.3822.0 e le versioni più recenti dello strumento di sicurezza integrato è possibile individuare e rendere innocui eventuali driver compromessi.