Рекомендация по безопасности, опубликованная вчера Microsoft и помеченная как ADV230001, посвящена проблеме со многими драйверами, сертифицированными Программой разработчиков оборудования Windows, которые использовались злонамеренно. Эта проблема была обнаружена Sophos, уведомившим Microsoft в начале февраля 2023 года. В дополнение Microsoft сообщает, что Trend Micro и Cisco представили свои собственные отчеты о таких проблемах, в результате чего общее количество небезопасных драйверов возросло до 133.
Согласно информации Microsoft, последующее расследование показало, что несколько учетных записей разработчиков Microsoft Partner Center (MPC) были вовлечены в отправку вредоносных драйверов для получения подписи Microsoft. Неудивительно, что все эти учетные записи были немедленно заблокированы. Были приняты и другие меры, которые обеспечивают защиту от нелегитимно подписанных драйверов.
По данным Sophos, в последнее время в различных атаках использовались два типа вредоносных драйверов. Первый был похож на вредоносные подписанные драйверы, обнаруженные в прошлом году и относящиеся к категории «Endpoint protection killer», в то время как другой тип напоминает руткит, задуманный для тихой работы в качестве еще одной фоновой задачи.
Как обычно, все, что нужно делать обычным пользователям — это регулярно обновлять свою операционную систему. Следует отметить, что проблемы не затронули другие устройства или службы, кроме ПК с ОС Windows, поэтому пользователям Azure, Xbox или Microsoft 365 не о чем беспокоиться.