揭開黑暗面:133 個帶有正版 Microsoft 簽名的 Windows 驅動程序被惡意軟件感染
作為回應,微軟採取了暫停眾多開發者許可證的行動。
最近的爆料引起了那些努力更新 Windows 計算機以維護安全的用戶的擔憂。據了解,133 個帶有 Microsoft 官方簽名的驅動程序已感染惡意軟件。這個問題尤其令人擔憂,因為操作系統會自動加載並安裝這些驅動程序,而無需用戶干預。這一發現凸顯了對驅動程序的來源和完整性加強審查和警惕的必要性,並強調了實施強有力的安全措施以防範此類威脅的重要性。
這一發現引起了人們的極大關注,並引發了關於如何發生這種情況的疑問。微軟意識到這個問題已經有一段時間了,並採取了應對措施。最近的每月 Windows 更新立即阻止了受影響的驅動程序,鎖定了負責任的開發人員帳戶。雖然這些步驟可能會減輕眼前的風險,但深入研究此問題的根本原因至關重要。
目錄
惡意軟件攻擊者如何竊取證書
據微軟稱,包含惡意軟件的驅動程序具有有效簽名,這賦予了它們對受影響系統的管理員權限。這意味著驅動程序背後的惡意行為者可能會在不被發現的情況下訪問和監控受感染的系統。有問題的驅動程序來自多個微軟合作夥伴,由於這一發現,相關的開發者帳戶已被暫停。
進一步調查發現,有人獲取了開發者證書來非法簽署這些受惡意軟件感染的驅動程序。負責這些驅動程序的軟件製造商的證書被盜並在網上出售。這些被盜的證書允許惡意軟件繞過安全措施並顯得合法,因為它們帶有來自受感染開發人員的有效簽名。
如何應對惡意司機
自 2023 年 3 月起,Windows 實施了識別惡意驅動程序的檢測功能,為用戶提供了額外的安全層。為了確保針對這些威脅提供最佳保護,Microsoft 強烈建議用戶定期更新 Windows Defender(其內置防病毒解決方案),並應用所有可用的 Windows 更新。這些更新通常包括關鍵的安全補丁和增強功能,可以幫助防範各種類型的惡意軟件,包括惡意驅動程序。
Microsoft 建議在 2023 年 3 月 2 日之前對系統執行離線掃描,以解決以前安裝的惡意驅動程序的可能性。此離線掃描可以幫助識別在常規在線掃描期間可能未檢測到的潛在威脅。通過進行離線掃描,用戶可以徹底檢查其係統並採取必要的措施來減輕與潛在惡意驅動程序相關的任何風險。
Microsoft 已針對已識別的惡意驅動程序實施了自動收集流程,以進一步增強安全措施。這些驅動程序現在已集成到 Windows 操作系統中的撤銷列表中。此撤銷列表有助於阻止安裝和執行標記為惡意的驅動程序,從而針對已知威脅添加額外的保護層。
值得注意的是,被吊銷名單的司機中,相當一部分持有中國駕照。這強調了對驅動程序源進行持續監控和評估的必要性以及維護安全和可信的軟件供應鏈的重要性。通過保持警惕並保持系統最新,用戶可以更好地保護其設備免受惡意驅動程序相關的風險,並維護安全的計算環境。
揭開黑暗面:133 個帶有正版 Microsoft 簽名的 Windows 驅動程序被惡意軟件感染 截图
