Oltre 100 driver Windows firmati male bloccati da Microsoft

L'avviso di sicurezza pubblicato ieri da Microsoft ed etichettato come ADV230001 riguarda un problema con molti driver certificati dal Windows Hardware Developer Program che "venivano utilizzati in modo malevolo in attività di post-exploitation". Il problema è stato scoperto dai ricercatori di Sophos, che lo hanno comunicato a Microsoft all'inizio di febbraio 2023. Oltre a loro, Microsoft rivela che Trend Micro e Cisco hanno fornito le proprie segnalazioni su tali problemi, portando il numero totale di driver non sicuri (compresi quelli non certificati) a 133.

Secondo Microsoft, l'indagine successiva ha rivelato che "diversi account di sviluppatori per il Microsoft Partner Center (MPC) erano impegnati nell'invio di driver dannosi per ottenere una firma Microsoft". Sono state adottate anche altre misure, come l'implementazione dei rilevamenti di blocco (a partire da Microsoft Defender 1.391.3822.0) che forniscono protezione dai driver legittimamente firmati utilizzati nell'attività post-exploit.

Come rivelato da Sophos, ultimamente sono stati utilizzati due tipi di driver dannosi in vari attacchi. Il primo è simile ai driver firmati male scoperti lo scorso anno e appartenenti alla categoria "Endpoint protection killer", mentre l'altro tipo assomiglia a un rootkit, essendo concepito per essere eseguito silenziosamente come un'altra attività in background.

Come al solito, tutto ciò che gli utenti domestici devono fare è mantenere il sistema operativo aggiornato e nient'altro. Questi problemi non hanno interessato altri dispositivi o servizi ad eccezione dei PC Windows, quindi gli utenti di Azure, Xbox o Microsoft 365 non hanno nulla di cui preoccuparsi.

Acquista il Microsoft Surface Laptop Go 2 (8QF-00012) su Amazon