微软不小心签署了一个针对游戏玩家的恶意软件驱动程序

针对最初似乎是误报的情况，网络安全研究人员发现了一个由 Microsoft 正式签名的恶意驱动程序。安全供应商G Data的恶意软件分析师Karsten Hahn在博客上发表了关于 Microsoft 的失礼的文章，同时分享了他对驱动程序恶意活动的观察。

我们正在研究我们的读者如何将 VPN 与 Netflix 等流媒体网站结合使用，以便我们改进内容并提供更好的建议。此调查不会占用您超过 60 秒的时间，您还可以选择参加抽奖活动以赢取价值 100 美元的亚马逊代金券或五个 1 年期 ExpressVPN 订阅之一。

“上周，我们的警报系统通知我们可能存在误报，因为我们检测到了一个由 Microsoft 签名的名为‘Netfilter’的驱动程序……在这种情况下，检测结果为真阳性，因此我们将我们的发现转发给了 Microsoft，后者立即添加了恶意软件签名到Windows Defender，现在正在进行内部调查，”哈恩写道。

Hahn 解释说，自从 Windows Vista 推出以来，所有在内核空间中运行的代码都需要经过微软的测试和签名。简而言之，任何不带有微软官方认可印章的驱动程序都不能“默认”安装。

根据 Hahn 的分析，Netfilter 驱动程序被标记是因为它似乎没有提供任何“合法功能”，并且通过与 C&C IP 通信表现出非正常行为。

根据Bleeping Computer 的说法，微软已经确认它不小心签署了恶意驱动程序，该驱动程序正在游戏环境中分发。

软件供应链威胁

Hahn 表示，微软正在积极调查驱动程序如何设法通过签名过程。

Bleeping Computer补充说，这家软件巨头还没有找到证据表明驱动程序是由被盗的代码签名证书签名的。这似乎表明恶意行为者经过正当程序获得了批准印章。

这是一个更令人担忧的前景，因为它指出微软驱动程序签名过程中的漏洞可能被利用来毒害软件供应链，对各种规模的企业都有潜在的影响。

标签： 微软恶意软件驱动程序