Drivers são pequenos softwares essenciais para a comunicação entre o hardware e o software. No entanto, os drivers que estão sendo usados por grupos de ransomware possuem uma assinatura criptográfica que é reconhecida pelo sistema operacional Windows.
Este recurso foi implementado para garantir que os drivers não tragam malwares. Contudo, ironicamente, especialistas em segurança descobriram que esses drivers estão sendo usados em ataques a sistemas Windows.
Leia também
Os melhores softwares para atualização de drivers
O que é e como excluir a pasta Windows.old
Os drivers, que contém instruções para o uso do hardware, podem ter acesso ao núcleo do sistema operacional (kernel). Por esse motivo, o Windows exige que eles tenham uma assinatura criptográfica reconhecida pela Microsoft. Em 2020, o Windows 10 passou a bloquear drivers sem esse recurso.
No entanto, mesmo com todas essas medidas, ainda é possível que drivers assinados sejam usados de maneira maliciosa, como foi revelado por empresas de segurança como Mandiant, Sophos e SentinelOne.
Falha no sistema de verificação de drivers
Para que um driver possa ser utilizado em sistemas operacionais Windows, o desenvolvedor do hardware precisa obter um certificado de validação estendida da Microsoft que ateste a sua identidade.
Este certificado é vinculado à conta do desenvolvedor no Windows Hardware Developer Program. Em seguida, o driver deve ser enviado à Microsoft para análise e validação. Contudo, os invasores estão explorando uma falha no processo de validação.
Eles estão criando drivers maliciosos que conseguem passar pelas verificações de segurança da Microsoft durante a análise. Se o driver é aprovado, ele é considerado confiável pelo sistema operacional e, a partir daí, os problemas começam.
Grupos de ransomware já vinham explorando a falha
Conforme mostra a empresa de segurança Mandiant, cerca de nove grupos hackers vinham explorando a falha nos drivers assinados para realizar ataques a sistemas operacionais Windows. A empresa Sophos, por sua vez, destacou a atuação de um grupo hacker denominado de Cuba, que, apesar do nome, tem ligação com os russos.
O grupo usa um malware chamado BurntCigar para tentar desativar as ferramentas de segurança do computador por meio de um driver. Os processos de segurança são protegidos pelo sistema operacional e não podem ser desativados como se fossem softwares comuns. Para driblar essa proteção, os grupos de ransomware utilizavam um “kit” com dois componentes: o Stonestop e o Poortry.
O Stonestop tem o objetivo de encerrar os processos de recursos de segurança e, para isso, aciona o Poortry, que é um driver assinado. Como o Windows confia em drivers assinados, ele não barra a ação do Poortry. Dessa forma, o ransomware ou qualquer outro malware tem caminho livre para atacar o sistema, que fica desprotegido.
Microsoft tomou medidas para contornar o problema
As empresas de segurança Mandiant, Sophos e SentinelOne reportaram a falha nos drivers assinados para a própria Microsoft. Desde então a empresa tem trabalhado para solucionar o problema.
O primeiro passo adotado pela Gigante de Redmond foi habilitar o Microsoft Defender, por meio de atualizações, para detectar drivers assinados, mas maliciosos. Além disso, foram liberadas atualizações de segurança para o Windows revogar os certificados comprometidos.
As contas usadas para o envio dos drivers problemáticos foram suspensas. No entanto, a Microsoft não explicou como esses drivers passaram pelo seu processo de revisão. A empresa afirmou apenas que está trabalhando com parceiros do Microsoft Active Protections Program para criar mecanismos de proteção mais eficazes. Isso só mostra que, na informática, nenhum sistema de segurança é imune a falhas.
Fonte: BleepingComputer
Veja também
Sobre o Autor
Deixe seu comentário