Microsoft heeft de accounts van enkele externe ontwikkelaars geschrapt nadat bleek dat ze malafide software, vermomd als hardware-drivers, door Microsoft als veilig lieten klasseren.
Het incident raakte vorige week bekend, maar dateert van oktober. Beveiligingsbedrijven SentinelOne, Mandiant en Sophos ontdekten dat hackers hun ransomware wilden verspreiden met behulp van drivers die door Microsoft waren ondertekend.
De aanvalspoging vereist al dat een hacker administratorrechten nodig had op een toestel, maar door dan drivers te installeren die door Windows als ‘veilig’ worden aanzien, kan een crimineel ook onderdelen zoals de beveiliging uitschakelen en mogelijk ook makkelijker het in (bedrijfs) netwerk geraken.
Na de melding onderzocht Microsoft de zaak en ontdekte het dat verschillende developer accounts voor het Microsoft Partner Center malafide drivers hadden ingediend. De accounts werden in oktober geschorst zegt Microsoft in een security advisory.
Naar aanleiding van het incident bekijkt Microsoft betere detectiemethodes om dergelijke praktijken beter bloot te leggen en te blokkeren.
Fout opgemerkt of meer nieuws? Meld het hier