Micrsoft 日前發出通告,指承認為含有惡意軟件的第三方驅動程式進行簽署,該驅動程式是透過 Windows 硬體兼容性計劃 (WHCP) 提交的。 Microsoft 涉事的帳戶經已被暫停,並正在審視該帳戶有沒有提交更多被簽署的惡意軟件。
受害玩家帳戶可能會被騎劫
Microsoft 指發佈有關驅動程式的惡意分子的活動範圍主要在中國地區的遊戲範疇,並未發現以企業為對象。現時未發現事件與國家政府有關連。
德國的系統保安公司 G DATA 在網誌表示是他們發現有關惡意驅動程式並通報 Microsoft 的,該驅動程式名為「 Netfilter 」,是在 3 月中旬獲 Microsoft 簽署的。他們指有關的驅動程式會將通信重導向至中國,而 Microsoft 就列出兩個已知的控制指令伺服器的 IP 地址,指惡意分子的目的是利用這驅動程式來掩飾他們的地理位置,令他們可以從任何地方進行遊戲。程式可以令他們在遊戲上取得優勢,並且可以透過鍵盤紀錄器等普通工具,來入侵玩家的賬戶。
簽署原意是確保安全
Microsoft 表示現時沒證據顯示 WHCP 的簽署證書被洩漏,系統亦沒有被駭入。 Microsoft 自 Windows Vista 開始要求在 64-bit Windows 上以核心模式運作的程式需經過測試及簽署才能推出,未有簽署的驅動程式預設是不能安裝的,以「確保兼容性、互操作性、安全性和可靠性」。不過今次事件顯示簽署程序存在漏洞。
Microsoft 表示會檢討合作伙伴政策、測試和改善簽署程序以加強保護,亦已在「 Microsoft Defender for Endpoint 」內建檢測和攔截這個程式,並與其他防毒軟件公司分享有關資訊。 Microsoft 呼籲用戶應使用「 Microsoft Defender for Endpoint 」等防毒軟件加強防護。
