揭开黑暗面:133 个带有正版 Microsoft 签名的 Windows 驱动程序被恶意软件感染
作为回应,微软采取了暂停众多开发者许可证的行动。
最近的爆料引起了那些努力更新 Windows 计算机以维护安全的用户的担忧。据了解,133 个带有 Microsoft 官方签名的驱动程序已感染恶意软件。这个问题尤其令人担忧,因为操作系统会自动加载并安装这些驱动程序,而无需用户干预。这一发现凸显了对驱动程序的来源和完整性加强审查和警惕的必要性,并强调了实施强有力的安全措施以防范此类威胁的重要性。
这一发现引起了人们的极大关注,并引发了关于如何发生这种情况的疑问。微软意识到这个问题已经有一段时间了,并采取了应对措施。最近的每月 Windows 更新立即阻止了受影响的驱动程序,锁定了负责任的开发人员帐户。虽然这些步骤可能会减轻眼前的风险,但深入研究此问题的根本原因至关重要。
目录
恶意软件攻击者如何窃取证书
据微软称,包含恶意软件的驱动程序具有有效签名,这赋予了它们对受影响系统的管理员权限。这意味着驱动程序背后的恶意行为者可能会在不被发现的情况下访问和监控受感染的系统。有问题的驱动程序来自多个微软合作伙伴,由于这一发现,相关的开发者帐户已被暂停。
进一步调查发现,有人获取了开发者证书来非法签署这些受恶意软件感染的驱动程序。负责这些驱动程序的软件制造商的证书被盗并在网上出售。这些被盗的证书允许恶意软件绕过安全措施并显得合法,因为它们带有来自受感染开发人员的有效签名。
如何应对恶意司机
自 2023 年 3 月起,Windows 实施了识别恶意驱动程序的检测功能,为用户提供了额外的安全层。为了确保针对这些威胁提供最佳保护,Microsoft 强烈建议用户定期更新 Windows Defender(其内置防病毒解决方案),并应用所有可用的 Windows 更新。这些更新通常包括关键的安全补丁和增强功能,有助于防范各种类型的恶意软件,包括恶意驱动程序。
Microsoft 建议在 2023 年 3 月 2 日之前对系统执行离线扫描,以解决以前安装的恶意驱动程序的可能性。此离线扫描可以帮助识别在常规在线扫描期间可能未检测到的潜在威胁。通过进行离线扫描,用户可以彻底检查其系统并采取必要的措施来减轻与潜在恶意驱动程序相关的任何风险。
Microsoft 已针对已识别的恶意驱动程序实施了自动收集流程,以进一步增强安全措施。这些驱动程序现在已集成到 Windows 操作系统中的撤销列表中。此撤销列表有助于阻止安装和执行标记为恶意的驱动程序,从而针对已知威胁添加额外的保护层。
值得注意的是,被吊销名单的司机中,相当一部分持有中国驾照。这强调了对驱动程序源进行持续监控和评估的必要性以及维护安全和可信的软件供应链的重要性。通过保持警惕并保持系统最新,用户可以更好地保护其设备免受恶意驱动程序相关的风险,并维护安全的计算环境。
揭开黑暗面:133 个带有正版 Microsoft 签名的 Windows 驱动程序被恶意软件感染 截图
