Microsoft thừa nhận phê duyệt nhầm malware của hacker Trung Quốc

Tuần trước, Karsten Hahn, nhà nghiên cứu mã độc của hãng G Data, đã phát hiện ra một phần mềm đáng ngờ trên hệ thống của Microsoft. Đầu tiên, Hahn tưởng rằng hệ thống của G Data đã cảnh báo nhầm bởi phần mềm driver có tên Netfilter này được phê duyệt bởi Microsoft.

Tuy nhiên, khi xem xét kỹ, Hahn nhận ra Netfilter có liên lạc với các địa chỉ IP của máy chủ điều khiển (C&C) tại Trung Quốc. Ngoài ra, nó chẳng có bất cứ chức năng nào khác.

Hahn đã ngay lập tức thông báo vấn đề này cho Microsoft và sau đó công khai trên cộng đồng bảo mật. Netfilter hoạt động ở mức kernel của hệ điều hành và để làm điều đó nó cần phải được phê duyệt bởi Microsoft.

"Kể từ Windows Vista trở đi, để đảm bảo tính ổn định của hệ điều hành, bất kỳ code nào chạy ở mức kernel đều bắt buộc phải chịu sự kiểm tra và phê duyệt của Microsoft trước khi phát hành. Các driver không được Microsoft phê duyệt sẽ không thể được cài đặt", Hahn chia sẻ.

Khi nhận được thông báo từ Hahn, Microsoft cho biết họ đang tích cực điều tra vụ việc. Cho đến nay, không có bất cứ dấu hiệu nào cho thấy Netfilter sử dụng các chứng chỉ bị đánh cắp.

Điều này chứng tỏ rằng những kẻ đứng đằng sau Netfilter đã làm theo quy trình của Microsoft để driver này được phê duyệt một cách chính thức. Microsoft xác nhận rằng họ đã phê duyệt một malware rootkit đang được phân phối trong môi trường gaming. Hiện Microsoft đã chấm dứt tài khoản quản lý Netfilter và xem xét lại các nội dung khác mà tài khoản đó cung cấp để tìm kiếm thêm các dấu hiệu của malware.

Theo Microsoft, hacker điều khiển Netfilter chủ yếu nhắm vào các mục tiêu trong lĩnh vực game ở Trung Quốc. Hiện chưa có dấu hiệu nào cho thấy môi trường doanh nghiệp bị ảnh hưởng bởi Netfilter.

Microsoft không nghĩ rằng những kẻ điều hành Netfilter có liên quan tới chính phủ.

Sự cố này bộc lộ điểm yếu trong quy trình phê duyệt, cấp chữ ký số hợp pháp cho các phần mềm của Microsoft. Hacker có thể lợi dụng những điểm yếu này để đưa các mã độc vào hệ thống của Microsoft nhằm phục vụ những cuộc tấn công supply chain nguy hiểm.