Microsoft, Windows Donanım Uyumluluk Programı (WHCP) tarafından onaylanmış bir sürücünün rootkit kötü amaçlı yazılım içerdiği tespit edildiğini ancak sertifika altyapısının tehlikeye atılmadığını belirtti.
Microsoft'un Güvenlik Yanıt Merkezi'nde yayınlanan bir açıklamada şirket, güvenliği ihlal edilmiş sürücüyü keşfettiğini ve onu ilk gönderen hesabı askıya aldığını doğruladı. Bleeping Computer tarafından belirtildiği gibi, bu olay büyük olasılıkla kod imzalama sürecinin kendisindeki bir zayıflıktan kaynaklanıyordu.
Microsoft ayrıca, WHCP imzalama sertifikasının güvenliğinin ihlal edildiğine dair hiçbir kanıt görmediğini söylüyor, bu nedenle birisinin sahte sertifika vermesi pek olası değil.
Bir rootkit, varlığını maskelemek için tasarlanmıştır, bu da çalışırken bile algılanmasını zorlaştırır. Bir rootkit içinde gizlenen kötü amaçlı yazılım, verileri çalmak, raporları değiştirmek, virüslü sistemin kontrolünü ele geçirmek vb. için kullanılabilir.
Microsoft'a göre, sürücünün kötü amaçlı yazılımı çevrimiçi oyunlarda kullanılmak üzere tasarlanmış gibi görünüyor ve kullanıcının coğrafi konumunu taklit ederek her yerden oynamalarına izin verebilir. Ayrıca keylogger'ları kullanarak diğer oyuncuların hesaplarını tehlikeye atmalarına da izin verebilir.
Güvenlik Müdahale Merkezi raporuna göre, "Oyuncunun etkinliği özellikle Çin'deki oyun sektörüyle sınırlıdır ve kurumsal ortamları hedeflemiyor gibi görünmektedir." Ayrıca, etkili olması için sürücünün manuel olarak yüklenmesi gerektiğini belirtir.
Bir sistemin güvenliği zaten ihlal edilmemişse ve bir saldırgana yönetici erişimi vermedikçe veya kullanıcı bunu bilerek yapmıyorsa, gerçek bir risk yoktur.
Microsoft ayrıca sürücünün ve ilişkili dosyalarının MS Defender for Endpoint tarafından algılanıp engelleneceğini de söylüyor. Bu sürücüyü indirmiş veya yüklemiş olabileceğinizi düşünüyorsanız, Güvenlik Yanıt Merkezi raporunda "Uzlaşma Göstergeleri"ni kontrol edebilirsiniz.
