مایکروسافت امضای یک درایور شخص ثالث به نام Netfilter را تایید کرده که ظاهرا حاوی بدافزار روتکیت بوده است. این درایور از طریق «برنامه سازگاری سختافزاری ویندوز» (WHCP) در میان گیمرها دست به دست شده و با سرورهایی در چین در ارتباط بوده است.
به گزارش وبسایت Bleeping Computer، مشخص نیست که مایکروسافت چگونه به این روتکیت مجوز داده، ولی اعلام شده که این شرکت حالا مشغول بررسی شرایط است و فرآیند صدور امضای کد را اصلاح میکند. در حال حاضر هیچ مدرکی مبنی بر سرقت امضا از سوی نویسندگان این بدافزار دیده نمیشود و مایکروسافت اعتقاد ندارد که این اتفاق از سوی هکرهای وابسته به دولتها صورت گرفته باشد.
این بدافزار که اولین بار توسط «کارستن هان»، محقق امنیتی شرکت G Data شناسایی شد، با یک سرور فرمان و کنترل چینی در ارتباط بود و همین مسئله تردیدها را افزایش داد. بررسیهای بیشتر روی این سرور مشخص کرد که یک بدافزار مشغول فعالیت است و احتمالا سیستم را در معرض خطر قرار داده است.
مایکروسافت در این تحقیقات با شرکت درایورسازی «نینگبو ژو ژی» همکاری میکند و قرار است حفرههای امنیتی را برطرف سازد. کاربران بهزودی درایورهای فاقد بدافزار را از طریق آپدیتهای ویندوز دریافت میکنند.
مایکروسافت میگوید اثر مخرب این درایور محدود بوده است. هکرها این بدافزار را برای گیمرها ساخته بودند و هنوز گزارشی از آلوده شدن سیستمهای تجاری منتشر نشده است. مایکروسافت میگوید روتکیت Netfilter فقط در صورتی فعال میشود که دسترسیهای لازم را به آن بدهید.
با این حال، انتشار یک درایور آلوده در شرایطی که کاربران امضا کد را بهعنوان تاییدیهای مبنی بر سلامت و ایمنی نرمافزار در نظر میگیرند، اتفاق ناخوشایندی است. شاید بهتر باشد که از این به بعد در نصب سریع درایورهای جدید عجله نکنید و حتی در صورت انتشار مستقیم درایورها از سوی شرکت سازنده منتظر بررسیها و گزارشهای بیشتر بمانید.
