Microsoft заблокировала более 100 вредоносных драйверов Windows с подписью

Рекомендация по безопасности, опубликованная вчера (11 июля) Microsoft и помеченная как ADV230001, посвящена проблеме со многими драйверами, которые имели сертификацию Программы разработчиков оборудования Windows, и использовались злоумышленниками.

Данная проблема была выявлена исследователями Sophos, которые уведомили об этом Microsoft в начале февраля 2023 года.

В дополнение к ним Microsoft уведомила, что Trend Micro вместе с Cisco представили свои собственные отчёты о таких проблемах, в результате чего общее количество небезопасных драйверов (в том числе несертифицированных) выросло до 133.

Согласно Microsoft, последующий анализ показал, что несколько учётных записей разработчиков Microsoft Partner Center (MPC) были вовлечены в отправку драйверов с вредоносами для незаконного получения подписи Microsoft.

Неудивительно, что все эти учётные записи были немедленно заблокированы. Были приняты и другие меры, такие как реализация блокирующих обнаружений (начиная с Microsoft Defender 1.391.3822.0), которые обеспечивают защиту от легитимно подписанных драйверов, используемых в действиях после эксплойта.

По данным Sophos, в последнее время в различных атаках использовались два типа вредоносных драйверов. Первый был похож на вредоносные подписанные драйверы, обнаруженные в прошлом году и относящиеся к категории «Убийца защиты конечных точек», в то время как другой тип напоминает руткит, задуманный для тихой работы в качестве ещё одной фоновой задачи.

Как обычно, всё, что нужно делать домашним пользователям, – это обновлять свою операционную систему и ничего больше. Указанные проблемы не затронули другие устройства или службы, кроме ПК с Windows, поэтому пользователям Azure, Xbox или Microsoft 365 не о чем беспокоиться.