מיקרוסופט עדיין חותמת דיגיטלית על תוכנות זדוניות

לפעמים כשפורצים למתקן מאובטח, קל יותר להיכנס דרך דלת הכניסה מאשר לעבור על הקיר. האקרים מוצאים יותר ויותר שזה נכון בכל הנוגע להכנסת תוכנות זדוניות ל-Windows.

מוקדם יותר השנה תוכנה זדונית בשם "netfilter" נחתם על ידי מעבדות החומרה של מיקרוסופט, מה שמאפשר לה לעקוף את ההגנות המובנות של Windows. ה-Rootkit של Netfilter היה מנהל התקן ליבה זדוני שהופץ עם משחקים סיניים ואשר מתקשר עם שרתי פיקוד ובקרה סיניים.

נראה שהחברה ניצחה את האבטחה של מיקרוסופט פשוט על ידי ביצוע נהלים רגילים, והגשת הנהג כפי שכל חברה רגילה הייתה עושה.

חוקרי אבטחה של Bitdefender זיהו כעת ערכת שורש חדשה שנחתמה על ידי מיקרוסופט, בשם FiveSys, שגם נחתמה דיגיטלית על ידי מעבדות איכות החומרה של מיקרוסופט (WHQL) ומופצת למשתמשי Windows בטבע, במיוחד בסין.

מטרת ה-rootkit של FiveSys היא לנתב מחדש את תעבורת האינטרנט במכונות הנגועים באמצעות פרוקסי מותאם אישית, שנלקח מרשימה מובנית של 300 דומיינים. ההפניה פועלת הן עבור HTTP והן עבור HTTPS; ה-rootkit מתקין אישור שורש מותאם אישית כדי שהניתוב מחדש של HTTPS יעבוד. בדרך זו, הדפדפן אינו מזהיר מפני הזהות הלא ידועה של שרת ה-proxy.

ה-rootkit משתמש גם באסטרטגיות שונות כדי להגן על עצמו, כמו חסימת היכולת לערוך את הרישום ועצירת ההתקנה של קבצי שורש ותוכנות זדוניות אחרות מקבוצות שונות.

Bitdefender יצר קשר עם מיקרוסופט שביטלה את החתימה זמן קצר לאחר מכן, אבל מי יודע כמה סוסים טרויאנים אחרים נמצאים בטבע.

באמצעות ללא שם: Neowin