Schadsoftware mit Gütesiegel: Microsoft signierte versehentlich Malware

News 28.06.2021 um 14:41 Uhr Benjamin Gründken Als bevorzugte Quelle auf Google hinzufügen

Quelle: Digital_Revolution Foto CD

Signierte Treiber und Anwendungen verdeutlichen dem Anwender, dass er die Software ohne schlechtes Gewissen aufspielen kann. Nun musste Microsoft allerdings einräumen, dass man versehentlich chinesische Malware mit dem Namen "Netfilter" signiert hat.

Microsoft hat zugegeben, dass man versehentlich Malware mit dem Namen "Netfilter" signiert hat. Diese wurde offenbar über chinesische Server in Spielumgebungen verbreitet. Aufmerksam gemacht auf das Problem hatte Karsten Hahn, seines Zeichens Malware-Analyst bei G Data. In einem Blog-Artikel berichtet er, dass hinter dem vermeintlichen Treiber in Wirklichkeit ein Rootkit steckt.

Zunächst ging der Malware-Experte von einem False-Positive-Alarm aus. Als sich dann herausstellte, dass es sich tatsächlich um ein Rootkit handelt, habe er auf der Stelle Microsoft und die Öffentlichkeit über die Schwachstelle informiert. Microsoft hat sich inzwischen auch selbst an die Öffentlichkeit gewandt und bestätigt die fälschlicherweise erfolgte Zertifizierung.

In einer Stellungnahme heißt es, dass der vermeintliche Treiber durch das Windows Hardware Compatibility Program (WHCP) eingereicht wurde. Wie er durch die Kontrollen gelangen konnte, führen die Redmonder jedoch nicht aus. Microsoft betont, dass man das entsprechende Konto gesperrt hat und die Schadsoftware nun sehr genau untersucht.

Malware aus China für Vorteile in Spielen

"Die Aktivitäten des Täters beschränken sich auf den Spielesektor speziell in China und scheinen nicht auf Unternehmensumgebungen abzuzielen", schreibt Microsoft. Ziel der Schadsoftware war offenbar, einen anderen Standort vorzutäuschen, um von überall spielen zu können. Anscheinend konnte die Schadsoftware auch genutzt werden, um sich Vorteile in Spielen zu verschaffen und eventuell auch, um die Konten anderer Spieler zu kompromittieren. Vor dem Hintergrund vermutet Microsoft keine staatlichen Akteure hinter der Malware.

Mehr zum Thema: Windows 11 kommt mit neuem Benachrichtigungscenter

Eigentlich sollte die Zertifizierung von Treibern und Anwendungen genau solche Einbrüche verhindern. "Seit Windows Vista muss jeder Code, der im Kernel-Modus läuft, vor der öffentlichen Freigabe getestet und signiert werden, um die Stabilität des Betriebssystems zu gewährleisten", betont Hahn in seinem Blog-Artikel. Ohne ein Microsoft-Zertifikat können Treiber standardmäßig nicht ausgeführt werden.

Quelle: G Data Blog, Microsoft

Empfohlener redaktioneller Inhalt [EMBED_URL] An dieser Stelle finden Sie externe Inhalte von [PLATTFORM]. Zum Schutz Ihrer persönlichen Daten werden externe Einbindungen erst angezeigt, wenn Sie dies durch Klick auf "Alle externen Inhalte laden" bestätigen: Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit werden personenbezogene Daten an Drittplattformen übermittelt. Mehr dazu in unserer Datenschutzerklärung.

Externe Inhalte Mehr dazu in unserer Datenschutzerklärung.