微软批准用于勒索软件攻击的硬件驱动程序

Sophos的研究人员(在新标签页中打开)已经确定Microsoft批准的硬件驱动程序中的漏洞已被一个名为Cuba的组织利用在勒索软件攻击中。

在受感染的机器上发现了一对文件，Sophos称这些文件“协同工作以终止各种端点安全产品供应商使用的进程或服务。”

声称在事情升级之前“将攻击者踢出系统”，该公司无法确定可能发生了哪种攻击(如果有的话)，尽管一些证据指向一种名为“BURNTCIGAR”的恶意软件变体。

Sophos将其调查结果告知了微软，后者随后发布了一份公告(在新标签页中打开)作为其每月补丁星期二发布的一部分。

这家科技巨头承诺将完成一项调查，调查发现“活动仅限于滥用几个开发者计划账户，而且没有发现任何妥协。”

微软还暂停了合作伙伴的卖家账户，以同时保护用户。

已发布的安全更新将撤销受影响文件的证书，并且阻止检测现在构成操作系统的一部分(使用MicrosoftDefender1.377.987.0或更新版本时)。

与以往一样，该公司敦促其客户在适用的情况下安装更新，包括操作系统以及安装的防病毒和端点保护软件。攻击目标的安全软件通常是更具影响力的步骤的前奏，例如部署勒索软件。

更普遍地说，Sophos注意到了一种趋势，即威胁行为者“在信任金字塔上攀升，试图使用越来越多的可信加密密钥对他们的驱动程序进行数字签名。”