Microsoft keurde ransomware-drivers goed
Voor je computer is het belangrijk dat alle onderdelen op een goede manier kunnen samenwerken. Daarvoor dienen drivers: het zijn stuurprogramma’s die ervoor zorgen dat je processor en aangesloten apparaten elkaar begrijpen. Alleen kan je niet zomaar alle drivers installeren. Eerst moeten stuurprogramma’s worden goedgekeurd door Microsoft. Nu blijkt dat de kwaliteitscontrole daar te wensen overliet.
Een aantal programmeurs die bij het Windows Hardware Developer Program waren aangesloten mogen nu geen software meer ontwikkelen. Mandiant, Sophos en SentinelOne brachten Microsoft er in oktober al van op de hoogte dat sommige drivers de deur openzetten voor cyberaanvallen van allerlei aard. De ontwikkelaars zouden achterpoortjes in de stuurprogramma’s inprogrammeren. Microsoft schortte de accounts op nadat er op 29 september 2022 opnieuw kwaadaardige code werden ingediend voor ondertekening, dat maken ze zelf bekend op hun website.
Ondertekenen drivers
Alle drivers en hardware die in een Windows-systeem gebruikt worden, moeten namelijk eerst ondertekend worden door Microsoft. Alleen blijkt dat controleproces niet zo waterdicht te zijn: stuurprogramma’s die gecertificeerd waren, werden duidelijk misbruikt. Mandiant, Sophos en SentinelOne toonden aan dat de stuurprogramma’s bij ransomware-aanvallen, smishing en SIM-swapping gebruikt werden. Dat was mogelijk dankzij het Microsoft-certificaat, dat aangeeft dat de betreffende software te vertrouwen is.
Drivers zijn al langer een geliefd doelwit voor hackers en cybercriminelen. Aangezien de stuurprogramma’s de samenwerking van alle apparaten in goede banen leiden, is het interessant om hier voor storing te zorgen. De drivers werken namelijk op het hoogste niveau van het besturingssysteem, waar ook hackers toegang toe moeten krijgen als ze schade willen aanrichten. Met kwaadaardige drivers, die bovendien een certificaat dragen dat ze te vertrouwen zijn, zijn hackers dus zo goed als halfweg.
