Isinaad ng Microsoft na ang isang driver na na-certify ng Windows Hardware Compatibility Program (WHCP) ay natagpuang naglalaman ng rootkit malware, ngunit nagsasabing hindi nakompromiso ang imprastraktura ng certificate.
Sa isang pahayag na naka-post sa Security Response Center ng Microsoft, kinumpirma ng kumpanya na natuklasan nito ang nakompromisong driver at sinuspinde ang account na orihinal na nagsumite nito. Gaya ng itinuro ng Bleeping Computer, ang insidenteng ito ay malamang na sanhi ng kahinaan sa proseso ng pag-sign ng code, mismo.
Sinasabi rin ng Microsoft na wala itong nakitang katibayan na nakompromiso ang WHCP signing certificate, kaya malabong may nakagawa ng pekeng certification.
Ang rootkit ay idinisenyo upang i-mask ang presensya nito, na ginagawang mahirap na matukoy kahit na ito ay tumatakbo. Maaaring gamitin ang malware na nakatago sa loob ng rootkit para magnakaw ng data, baguhin ang mga ulat, kontrolin ang infected na system, at iba pa.
Ayon sa Microsoft, ang malware ng driver ay tila nilayon para gamitin sa online na paglalaro at maaaring madaya ang geolocation ng user upang payagan silang maglaro kahit saan. Maaari rin nitong hayaan silang ikompromiso ang mga account ng ibang manlalaro sa pamamagitan ng paggamit ng mga keylogger.
Ayon sa ulat ng Security Response Center, "Ang aktibidad ng aktor ay limitado sa sektor ng paglalaro partikular sa China at mukhang hindi nagta-target ng mga enterprise environment." Nakasaad din dito na ang driver ay dapat na manual na naka-install para maging epektibo.
Maliban na lang kung ang isang system ay nakompromiso na at nagbibigay ng admin ng access sa isang umaatake, o ang user mismo ay kusa itong gawin, walang tunay na panganib.
Sinasabi rin ng Microsoft na ang driver at ang mga nauugnay na file nito ay matutukoy at mai-block ng MS Defender para sa Endpoint. Kung sa tingin mo ay maaaring na-download o na-install mo ang driver na ito, maaari mong tingnan ang "Mga Tagapagpahiwatig ng Pagkompromiso" sa ulat ng Security Response Center.
