Drivers assinados pela Microsoft são usados em ataques de ransomware

O Windows confia em drivers assinados; grupos de ransomware descobriram que podem usar isso para invadir o sistema

Emerson Alecrim
Por

Drivers assinados atestam para o sistema operacional que eles não trazem malwares. Ironicamente, especialistas em segurança descobriram que grupos de ransomware estão usando drivers do tipo para ataques em sistemas Windows. Isso é como abrir a porta da sua casa para os bandidos entrarem.

Logotipo do Windows 11
Windows 11 (imagem: Vitor Pádua/Tecnoblog)

Por conterem instruções para o uso do hardware, drivers podem ter acesso ao kernel (núcleo) do sistema operacional. É por isso que o Windows exige que os drivers tenham uma assinatura criptográfica reconhecida pela Microsoft. Prova disso é que, em 2020, o Windows 10 passou a bloquear drivers sem esse recurso.

Mas, aqui, a máxima de que não existe nada 100% seguro está fortemente presente. As empresas de segurança Mandiant, Sophos e SentinelOne revelaram que drivers assinados por meio do Windows Hardware Developer Program estavam sendo usados para fins maliciosos.

Como isso é possível?

Para que um driver seja assinado, o desenvolvedor de um hardware deve obter um certificado de validação estendida que prove a sua identidade à Microsoft.

Esse certificado é vinculado à conta do desenvolvedor no Windows Hardware Developer Program. No passo seguinte, o driver deve ser submetido à Microsoft para validação.

O truque está em manipular esse processo. A SentinelOne explica que os invasores desenvolveram drivers que, apesar de maliciosos, conseguem passar pelas verificações de segurança da Microsoft durante a análise.

Se o driver é aprovado, ele é tido como confiável pelo sistema operacional. É aí que os problemas começam.

Ataques de ransomware

De acordo com a Mandiant, pelo menos nove grupos vinham explorando esse truque. A Sophos destaca a atuação da gangue de ransomware Cuba que, apesar do nome, teria ligação com a Rússia.

Em conjunto com um malware chamado BurntCigar, o ransomware tenta desativar as ferramentas de segurança do computador por meio do driver.

Os processos de mecanismos de segurança são protegidos pelo sistema. Não dá para desativá-los como se eles fossem softwares comuns. Para burlar essa proteção, os grupos de ransomwares podiam recorrer a um “kit” com dois componentes: o Stonestop e o Poortry.

O Stonestop tenta encerrar os processos dos recursos de segurança. Para isso, ele aciona o Poortry, que é um driver assinado. Como tal, o Windows não barra a ação do Poortry. Com o sistema desprotegido, o ransomware ou qualquer outro malware tem caminho livre.

A reação da Microsoft

As três empresas de segurança reportaram o problema à Microsoft. Desde então, a companhia vem atuando para conter o esquema.

Para começar, o Microsoft Defender foi habilitado, por meio de updates, para detectar os drivers assinados, mas maliciosos.

Além disso, atualizações de segurança para Windows foram lançadas de modo a revogar os certificados comprometidos. As contas usadas para o envio dos drivers problemáticos foram suspensas.

A Microsoft só não explicou como esses drivers passaram por seu processo de revisão. Por outro lado, a companhia afirmou que está trabalhando com parceiros do Microsoft Active Protections Program para desenvolver mecanismos de proteção mais eficazes.

Com informações: BleepingComputer.

Relacionados

Relacionados