Microsoft ha iniciado una investigación para saber por qué aprobó un nuevo driver, llamado "Netfilter", pese a incluir software malicioso que captura las comunicaciones del ordenador de la víctima y las comunica a un servidor externo.
El escándalo empezó cuando el investigador de ciberseguridad Karsten Hahn descubrió lo que, por aquel entonces, creía que era un "falso positivo"; estos son muy habituales en programas que son confundidos con malware, pero que en realidad son benignos. Hahn tenía confianza en que este programa no era malicioso, ya que la propia Microsoft había firmado el código, como explican en BleepingComputer.
Desde el lanzamiento de Windows Vista, Microsoft obliga a los desarrolladores de hardware a firmar digitalmente los drivers de sus dispositivos; para ello, tiene un programa de compatibilidad, WHCP, que permite a los autores entregar el código para que Microsoft lo firme. Windows no ejecuta drivers que no hayan sido firmados correctamente, así que es una manera de asegurarse de que los drivers de nuestro dispositivo son los correctos y no un intento de ataque.
Sin embargo, eso es justo lo que era Netfilter. Después de una investigación más exhaustiva, las intenciones de este programa fueron evidentes, incluyendo el descubrimiento de un "dropper", software que se encarga de descargar e instalar el malware en el equipo.
La mayor preocupación es que, una vez instalado, el malware es capaz de realizar una conexión con un servidor externo situado en China; y aunque había rumores de que este servidor pertenece a una compañía gubernamental, eso no se ha confirmado oficialmente.
Curiosamente, este malware está dirigido a jugadores, y según la propia Microsoft, el objetivo de sus creadores sería usar el driver para ganar ventaja en los juegos y comprometer las cuentas de otros jugadores, tal vez obteniendo datos como las contraseñas que usan en sus cuentas. Sin embargo, la compañía aclara que estos ataques sólo se pueden realizar si el atacante ya ha ganado acceso al equipo para instalar el falso driver, o engañar a la víctima para que lo instale por su cuenta; por ejemplo, podríamos recibir "el nuevo driver de tu gráfica" e instalarlo, pensando que es real porque Windows no ha mostrado ninguna advertencia, como hace con drivers que no están firmados.
Aún quedan muchos misterios que resolver con Netfilter, pero el mayor de todos es qué ocurrió durante el proceso de aprobación de Microsoft para que semejante malware fuese firmado digitalmente. En su día, Microsoft presentó las firmas como una gran mejora en seguridad, pero no todo el mundo estaba contento: muchos dispositivos dejaron de funcionar en Windows Vista al no recibir drivers firmados. Ahora, Microsoft promete refinar el proceso que usa para validar y firmar los drivers.
