Вредоносное ПО в каталоге Windows Server
Исследователи кибербезопасности обнаружили одобренный Microsoft поддельный блокировщик рекламы, который продавался в интернет-кафе и внедрял вредоносное ПО на уровне ядра, сообщили эксперты ESET на своем веб-ресурсе WeLiveSecurity.
Microsoft одобрила HotPages и включила его в каталог Windows Server, где он и находился до первого мая 2024 г. Его удалили после предупреждения ESET, направленного в Microsoft 18 марта 2024 г.
HotPage рекламировался как «решение для безопасности интернет-кафе». Он якобы улучшает работу веб-браузера, блокируя рекламу и вредоносные веб-сайты. Исследователи обнаружили в нем встроенный драйвер, подписанный Microsoft. Согласно этой подписи, он был разработан некой китайской компанией, полное отсутствие информации о которой и привлекло внимание экспертов.
Как работал бэкдор
HotPage содержат код, который запускал уязвимый драйвер системного уровня. Кроме того, вредоносная программа перехватывала и перенаправляла веб-трафик и манипулировала содержимым в браузере жертвы. Она перехватывала функции Windows API с целью сбора информации о жертве. Данные затем отправлялась на сервер создателя HotPage. Установщик содержал зашифрованные версии компонента драйвера и библиотеки, которые внедрялись в процессы веб-браузера.
«Пока мы не выяснили, как распространялось вредоносное ПО, но с небольшой долей уверенности полагаем, что оно могло быть связано с другим программным пакетом», — написали специалисты ESET в своем отчете.
Как такое могло случиться
Основное беспокойство, как пишут эксперты, в этой ситуации вызывает то, как процесс проверки кода Microsoft позволил такому вредоносному ПО попасть в каталог Windows Server.
«Microsoft могла бы потребовать определенного уровня прозрачности относительно предполагаемого назначения программного обеспечения и требуемых функций для его достижения. Чем больше функций требуется редактору, тем больше тестов он должен пройти. Но давайте посмотрим правде в глаза, это сложная и трудоемкая задача», — сказал Ромен Дюмон (Romain Dumont), исследователь вредоносных программ ESET.
«Я не думаю, что существует абсолютно надежный процесс», — добавил он.
Проблемы с безопасностью у Microsoft
В апреле 2024 г. CNews писал, что у Microsoft есть серьезные проблемы с безопасностью. Компания получала много претензий, но самый большой за последнее время скандал разразился из-за ошибок корпорации, благодаря которым в 2023 г. стал возможен взлом электронной почты американских чиновников и кража десятков тысяч их писем.
Атака затронула электронную почту министра торговли Джины Раймондо (Gina Raimondo) и других чиновников Министерства торговли, а также члена палаты представителей США Дона Бэкона (Don Bacon) и посла США в Китае Николаса Бернса (Nicholas Burns). В общей сложности 60 тыс. электронных писем было украдено из 10 учетных записей Госдепартамента США.
После этого Совет по оценке кибербезопасности США (CSRB) опубликовал 34-страничный разгромный отчет. CSRB заявил, что оценил «методы безопасности других поставщиков облачных услуг, которые поддерживали меры безопасности, которых не было у Microsoft». Компания больше не делает безопасность главным приоритетом, как это изложено в знаменитой записке Билла Гейтса (Bill Gates) 2002 г. «Надежные вычисления», говорилось в отчете: «Microsoft отошла от этого идеала и должна немедленно восстановить его как главный корпоративный приоритет».