Microsoftはこのほど、「Guidance on Microsoft Signed Drivers Being Used Maliciously - Microsoft」において、Windowsハードウェア開発者プログラムで認定を受けたドライバがランサムウェアの攻撃に悪用されていたと伝えた。この悪意のあるドライバを公開するために使われたアカウントを停止させたと報告されている。
MicrosoftはセキュリティベンダーであるSentinelOne、Mandiant、SophosからWindowsハードウェア開発者プログラムで認定を受けたドライバがシステムの侵害後に悪用されているという連絡を受けたという。これに伴って調査したところ、Microsoft Partner Centerの複数の開発者アカウントがMicrosoftの署名を取得するために悪意のあるドライバを提出していたことが明らかとなった。これらのアカウントは新たに署名取得のために悪意のあるドライバを提出しようとしたため、10月上旬に停止されている。
Microsoft脅威インテリジェントセンター(MSTIC: Microsoft Threat Intelligence Center)の分析により、署名された悪意のあるドライバがランサムウェアの展開など、侵入後の活動を促進するために使用された可能性が高いことが判明している。
この問題に対してWindowsセキュリティ更新プログラムがリリースされており、影響を受けるファイルの証明書を失効させ、パートナーの販売者アカウントが停止されている。さらに、侵入後の活動で悪用された正規の署名付きドライバからユーザを保護するため、ブロック検出(Microsoft Defender 1.377.987.0 およびそれ以降)を実装したことが説明されている。
Microsoftは、Windowsの最新のアップデートをインストールし、アンチウイルスおよびエンドポイント検出応答(EDR: Endpoint Detection and Response)プロダクトを最新にしてサイバー攻撃を防ぐよう注意を呼びかけている。