微软封杀100多个恶意签名的Windows驱动程序
微软昨天发布的安全公告ADV230001涉及Windows硬件开发者计划认证的许多驱动程序的问题,这些驱动程序"被恶意用于后开发活动"。这个问题是由Sophos的研究人员发现的,他们在2023年2月初通知了微软。除他们之外,微软还透露趋势科技和思科也提供了自己关于此类问题的报告,从而使不安全驱动程序(包括未经认证的驱动程序)的总数达到133个。
据微软称,随后的调查显示,"微软合作伙伴中心(MPC)的几个开发者账户参与了提交恶意驱动程序以获得微软签名的活动"。此外,还采取了其他措施,如实施阻止检测(从Microsoft Defender 1.391.3822.0开始),以防止在漏洞后活动中使用合法签名的驱动程序。
据Sophos透露,最近有两种类型的恶意驱动程序被用于各种攻击。第一种类似于去年发现的恶意签名驱动程序,属于 "端点保护杀手 "类别,而另一种类似于rootkit,被设计为作为另一个后台任务悄悄运行。
与往常一样,家庭用户需要做的就是,并及时更新他们的操作系统。就可以了。除Windows PC外,这些问题并未影响其他设备或服务,因此Azure、Xbox或Microsoft 365的用户无需担心。
