A Microsoft supostamente falhou em proteger o Windows contra drivers maliciosos. Embora a empresa tenha anunciado que seu mecanismo Windows Update bloqueia drivers vulneráveis, uma publicação provou o contrário, apontando que a lista de drivers afetados não foi atualizada a tempo. Isso, por sua vez, deixou milhões de clientes desprotegidos contra uma técnica de infecção por malware que estava ativa recentemente chamada BYOVD, que significa “traga seu próprio driver vulnerável”. Vamos entender o que aconteceu em detalhes.
Hackers estão explorando drivers de computador com defeito para obter acesso a sistemas
Normalmente, os drivers são ferramentas que ajudam um computador a funcionar com dispositivos periféricos, como impressoras, câmeras e placas gráficas, entre outros. Eles atuam como uma ponte entre o núcleo do sistema operacional e o dispositivo para realizar uma tarefa específica. No processo, os drivers geralmente exigem acesso ao kernel, a parte mais sensível de um sistema operacional.
Para evitar o acesso não autorizado ao kernel, a Microsoft não permite que drivers de fontes não confiáveis o acessem. No entanto, hackers e maus atores agora estão usando “drivers legítimos” que contêm vulnerabilidades de corrupção de memória para superar as barreiras de segurança estabelecidas pela Microsoft. Esses drivers permitiram que os cibercriminosos acessassem o kernel e assumissem o controle dos dispositivos dos usuários, e essa técnica de usar drivers oficiais, mas comprometidos, é chamada BYOVD. O método está em uso desde 2012.
A Microsoft deveria ter atualizado a lista de drivers bloqueados há três anos
O relatório da ArsTechnica menciona que “a Microsoft está ciente da ameaça BYOVD e vem trabalhando em defesas para impedir esses ataques, principalmente criando mecanismos para impedir que o Windows carregue drivers assinados, mas vulneráveis”. No entanto, o relatório também menciona que a abordagem da Microsoft não funcionou bem. O Microsoft Windows Update falhou ao atualizar a lista de drivers comprometidos ou afetados, abrindo uma chance para que os maus atores os usem mal.
Dan Goodin, da ArsTechnica, e Peter Kalnai, pesquisador da ESET, descobriram que o recurso que bloqueava drivers afetados no Microsoft Windows em um PC não impedia que um sistema Windows 10 Enterprise carregasse um driver Dell vulnerável.
O analista de vulnerabilidade sênior da ANALYGENCE, Will Dormann, descobriu que o sistema ASR sobre o qual a Microsoft fala não funciona. O analista também concluiu que a “lista de bloqueio de drivers para máquinas Windows 10 habilitadas para HVCI não era atualizada desde 2019, e a lista de bloqueio inicial para o Server 2019 incluía apenas dois drivers”.
A página de regras de bloqueio de driver recomendadas pela Microsoft afirma que a lista de bloqueio de driver “é aplicada a” dispositivos habilitados para HVCI.
No entanto, aqui está um sistema habilitado para HVCI e um dos drivers na lista de bloqueio (WinRing0) está carregado com sucesso.
Não acredito nos documentos.https://t.co/7gCnfXYIys https://t.co/2IkBtBRhks pic.twitter.com/n4789lH5qy— Will Dormann (@wdormann) 16 de setembro de 2022
Em resposta, um gerente da Microsoft foi ao Twitter para dizer que a empresa atualizou os documentos online e adicionou um download contendo instruções para implantar as atualizações da lista de bloqueio manualmente. No entanto, é importante notar que esta não é a solução definitiva. A Microsoft deve lançar as atualizações da lista de bloqueio por meio do mecanismo do Windows Update para proteger todos os usuários contra a ameaça.
Para mais notícias de tecnologia, revisão de produtosrecursos e atualizações de tecnologia científica, continue lendo Digit.in.
Com informações de Digit Magazine.