Microsoft ha afirmat que un controlador certificat pel Programa de compatibilitat de maquinari de Windows (WHCP) conté programari maliciós rootkit, però diu que la infraestructura del certificat no estava compromesa.
En una declaració publicada al Centre de resposta de seguretat de Microsoft, l'empresa confirma que va descobrir el controlador compromès i ha suspès el compte que el va enviar originalment. Tal com va assenyalar Bleeping Computer, aquest incident probablement va ser causat per una debilitat en el procés de signatura de codi, en si.
Microsoft també diu que no ha vist cap evidència que el certificat de signatura del WHCP estigués compromès, de manera que és poc probable que algú hagi pogut falsificar la certificació.
Un rootkit està dissenyat per emmascarar la seva presència, cosa que dificulta la seva detecció fins i tot mentre s'està executant. El programari maliciós amagat dins d'un rootkit es pot utilitzar per robar dades, alterar informes, prendre el control del sistema infectat, etc..
Segons Microsoft, el programari maliciós del controlador sembla destinat a utilitzar-se amb jocs en línia i pot falsificar la geolocalització de l'usuari per permetre'ls jugar des de qualsevol lloc. També els pot permetre comprometre els comptes d' altres jugadors mitjançant l'ús de keyloggers.
Segons l'informe del Security Response Center, "L'activitat de l'actor es limita al sector dels jocs específicament a la Xina i no sembla dirigir-se a entorns empresarials". També indica que el controlador s'ha d'instal·lar manualment per ser efectiu.
Llevat que un sistema ja s'hagi compromès i concedint accés d'administrador a un atacant, o el propi usuari ho faci a propòsit, no hi ha cap risc real.
Microsoft també diu que el controlador i els fitxers associats seran detectats i bloquejats per MS Defender per a Endpoint. Si creieu que heu baixat o instal·lat aquest controlador, podeu comprovar "Indicadors de compromís" a l'informe del Centre de resposta de seguretat.
