Microsoft uviedol, že sa zistilo, že ovládač certifikovaný programom kompatibility hardvéru Windows (WHCP) obsahuje malvér rootkit, ale tvrdí, že infraštruktúra certifikátov nebola ohrozená.
Vo vyhlásení zverejnenom v Centre bezpečnostných reakcií spoločnosti Microsoft spoločnosť potvrdzuje, že objavila napadnutý ovládač a pozastavila účet, ktorý ho pôvodne odoslal. Ako poukázal Bleeping Computer, tento incident bol pravdepodobne spôsobený slabosťou v samotnom procese podpisovania kódu.
Microsoft tiež tvrdí, že nevidel žiadne dôkazy o tom, že by bol ohrozený podpisový certifikát WHCP, takže je nepravdepodobné, že by niekto dokázal sfalšovať certifikáciu.
Rootkit je navrhnutý tak, aby maskoval jeho prítomnosť, takže je ťažké ho odhaliť, aj keď je spustený. Malvér skrytý vo vnútri rootkitu možno použiť na odcudzenie údajov, zmenu správ, prevzatie kontroly nad infikovaným systémom atď.
Podľa spoločnosti Microsoft sa zdá, že malvér ovládača je určený na použitie s online hrami a môže sfalšovať geolokáciu používateľa, aby mohol hrať odkiaľkoľvek. Môže im tiež umožniť kompromitovať účty iných hráčov pomocou keyloggerov.
Podľa správy Security Response Center: „Aktivita herca je obmedzená na herný sektor konkrétne v Číne a nezdá sa, že by sa zameriavala na podnikové prostredia.“Tiež uvádza, že ovládač musí byť nainštalovaný manuálne, aby bol účinný.
Pokiaľ už systém nebol napadnutý a udelil správcovi prístup útočníkovi alebo ak to sám používateľ neurobil úmyselne, neexistuje žiadne skutočné riziko.
Microsoft tiež hovorí, že ovládač a jeho pridružené súbory budú detekované a zablokované programom MS Defender for Endpoint. Ak si myslíte, že ste si stiahli alebo nainštalovali tento ovládač, môžete skontrolovať „Indicators of Compromise“v správe Security Response Center.
