Aktuelles, Branche - geschrieben von dp am Montag, Juni 21, 2021 14:29 - noch keine Kommentare
Microsoft-signierte Malware: Gezielte Manipulation möglich
Zuständiges Team bei Microsoft über die Entdeckung informiert
[datensicherheit.de, 21.06.2021] Security-Experten von G DATA haben nach eigenen Angaben ein Netzwerk-Rootkit entdeckt, welches demnach „Netzwerkanfragen auf einen Server mit einer chinesischen IP-Adresse umleitet“. Damit sei es möglich, den Datenverkehr gezielt zu manipulieren. „Ein Rootkit ermöglicht es einem Angreifer unter anderem, schädliche Aktivitäten effektiv vor dem Nutzer zu verstecken. Besonders brisant: Die Schadsoftware gibt sich als Netzwerktreiber aus und ist Mitte Mai 2021 von Microsoft mit einem gültigen Zertifikat signiert worden.“ Ein weiterer Treiber mit zahlreichen Parallelen zur vorliegenden Datei sei bereits im März 2021 signiert worden.
Microsoft signiert grundsätzlich nur schadcode-freie Treiber
Ursprünglich sei das Analyse-Team von G DATA CyberDefense von einer Falscherkennung ausgegangen. Eine genaue Untersuchung habe jedoch ergeben, „dass die Erkennung für diese Datei tatsächlich korrekt ist“. Microsoft signiere Treiber grundsätzlich nur dann, „wenn diese frei von Schadcode sind“.
Karsten Hahn, „Malware Analyst“ bei G DATA CyberDefense, berichtet: „Wir waren erst unsicher, ob die Datei wirklich schädlich ist und glaubten an eine falschpositive Erkennung. Stutzig wurden wir deshalb, weil Netzwerktreiber eigentlich nicht ihren eigenen Code verschleiern. Das ist eine Taktik, die in der Regel nur bei Malware verwendet wird, um die Erkennung durch Sicherheitslösungen zu erschweren.“
Von Microsoft signierte Treiber im Normalfall immer als vertrauenswürdig eingestuft
Somit stehe der Verdacht im Raum, „dass entweder eine Schadsoftware beim Freigabeprozess von Microsoft nicht aufgefallen ist – oder dass das entsprechende Zertifikat von Dritten erbeutet wurde, um dieses gezielt zu missbrauchen“, um beispielsweise Malware zu verbreiten. Von Microsoft signierte Treiber würden im Normalfall immer als „vertrauenswürdig“ eingestuft und hätten innerhalb des Betriebssystems zum Teil weitreichende Berechtigungen.
„Windows 10“ lasse nur die Installation von Kernel-Treibern zu, „die von Microsoft signiert sind“. Das zuständige Team bei Microsoft sei über die Entdeckung bereits informiert worden. Erstmals sei die fragliche Datei mit der Erkennung „Win64.Rootkit.Netfilter.N“ in der 24. Kalenderwoche 2021 aufgefallen. Kunden von G DATA seien vor diesem Rootkit geschützt.
Weitere Informationen zum Thema:
G DATA
Aktuelle Warnung: Microsoft-signierte Malware ermöglicht gezielte Manipulation des Datenverkehrs
Aktuelles, Branche, Gastbeiträge - Juli 1, 2026 12:57 - noch keine Kommentare
Wenn KI theoretische Risiken in reale Angriffe verwandelt
weitere Beiträge in Experten
- Kooperation BAMF-ITZBund: Umzug in hochmodernes Rechenzentrum erfolgreich abgeschlossen
- Universität Paderborn: 12 Millionen Euro für Erweiterung des Supercomputers „Otus“
- Schatten-KI: Das Problem an der Wurzel packen
- Digitalkompetenzen: Laut TÜV Weiterbildungsstudie 2026 hoher Qualifizierungsbedarf
- Modernisierung von Bund und Ländern: „Monitor Staatsmodernisierung“ des Bitkom zur Umsetzung von 222 zentralen Vorhaben
Aktuelles, Branche, Produkte, Studien - Juli 2, 2026 0:57 - noch keine Kommentare
Kaspersky-Umfrage: Online-Betrug betraf 2025 bereits 56 Prozent der Internetnutzer
weitere Beiträge in Branche
- Die eigentliche Herausforderung beginnt erst jetzt: NIS-2-Registrierung genügt nicht
- Wenn KI theoretische Risiken in reale Angriffe verwandelt
- Versteckte Datenverlustrisiken: Hitzewelle als Bedrohung für Festplatten, SSDs und Smartphones
- Sicherheit auf Sommerreisen und Betrugsprävention – KnowBe4 gibt elementare Tipps
- Schatten-KI: Das Problem an der Wurzel packen
Aktuelles, A, Experten, Service, Wichtige Adressen - Jan. 13, 2026 1:08 - noch keine Kommentare
Registrierung bei ELEFAND: Krisen- und Katastrophenvorsorge bei Auslandsaufenthalten
weitere Beiträge in Service
- DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen



Kommentieren