Drivers assinados pela Microsoft são usados em ataques de ransomware

O Windows confia em drivers assinados; grupos de ransomware descobriram que podem usar isso para invadir o sistema

Emerson Alecrim
Por
Logotipo do Windows 11
Windows 11 (imagem: Vitor Pádua/Tecnoblog)

Drivers assinados atestam para o sistema operacional que eles não trazem malwares. Ironicamente, especialistas em segurança descobriram que grupos de ransomware estão usando drivers do tipo para ataques em sistemas Windows. Isso é como abrir a porta da sua casa para os bandidos entrarem.

Por conterem instruções para o uso do hardware, drivers podem ter acesso ao kernel (núcleo) do sistema operacional. É por isso que o Windows exige que os drivers tenham uma assinatura criptográfica reconhecida pela Microsoft. Prova disso é que, em 2020, o Windows 10 passou a bloquear drivers sem esse recurso.

Mas, aqui, a máxima de que não existe nada 100% seguro está fortemente presente. As empresas de segurança Mandiant, Sophos e SentinelOne revelaram que drivers assinados por meio do Windows Hardware Developer Program estavam sendo usados para fins maliciosos.

Como isso é possível?

Para que um driver seja assinado, o desenvolvedor de um hardware deve obter um certificado de validação estendida que prove a sua identidade à Microsoft.

Esse certificado é vinculado à conta do desenvolvedor no Windows Hardware Developer Program. No passo seguinte, o driver deve ser submetido à Microsoft para validação.

O truque está em manipular esse processo. A SentinelOne explica que os invasores desenvolveram drivers que, apesar de maliciosos, conseguem passar pelas verificações de segurança da Microsoft durante a análise.

Se o driver é aprovado, ele é tido como confiável pelo sistema operacional. É aí que os problemas começam.

Ataques de ransomware

De acordo com a Mandiant, pelo menos nove grupos vinham explorando esse truque. A Sophos destaca a atuação da gangue de ransomware Cuba que, apesar do nome, teria ligação com a Rússia.

Em conjunto com um malware chamado BurntCigar, o ransomware tenta desativar as ferramentas de segurança do computador por meio do driver.

Os processos de mecanismos de segurança são protegidos pelo sistema. Não dá para desativá-los como se eles fossem softwares comuns. Para burlar essa proteção, os grupos de ransomwares podiam recorrer a um “kit” com dois componentes: o Stonestop e o Poortry.

O Stonestop tenta encerrar os processos dos recursos de segurança. Para isso, ele aciona o Poortry, que é um driver assinado. Como tal, o Windows não barra a ação do Poortry. Com o sistema desprotegido, o ransomware ou qualquer outro malware tem caminho livre.

A reação da Microsoft

As três empresas de segurança reportaram o problema à Microsoft. Desde então, a companhia vem atuando para conter o esquema.

Para começar, o Microsoft Defender foi habilitado, por meio de updates, para detectar os drivers assinados, mas maliciosos.

Além disso, atualizações de segurança para Windows foram lançadas de modo a revogar os certificados comprometidos. As contas usadas para o envio dos drivers problemáticos foram suspensas.

A Microsoft só não explicou como esses drivers passaram por seu processo de revisão. Por outro lado, a companhia afirmou que está trabalhando com parceiros do Microsoft Active Protections Program para desenvolver mecanismos de proteção mais eficazes.

Com informações: BleepingComputer.

Receba mais notícias do Tecnoblog na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.

Relacionados

Como atualizar drivers no Windows 10
Como atualizar drivers no Windows 10
O que é um ransomware?
O que é um ransomware?
Brasil é o segundo país mais atacado por cibercriminosos na América Latina
Brasil é o segundo país mais atacado por cibercriminosos na América Latina
Como recuperar arquivos encriptados por ransomware
Como recuperar arquivos encriptados por ransomware
Como atualizar os drivers do seu PC automaticamente
Como atualizar os drivers do seu PC automaticamente
Microsoft corrige falha do Windows usada em ataques de ransomware
Microsoft corrige falha do Windows usada em ataques de ransomware
Como instalar drivers de Bluetooth no PC
Como instalar drivers de Bluetooth no PC
Biden fará reunião com 30 países para discutir combate a ransomware
Biden fará reunião com 30 países para discutir combate a ransomware
EUA alertam mercado de criptomoedas sobre resgates de ransomware
EUA alertam mercado de criptomoedas sobre resgates de ransomware
Grupo hacker afirma que sequestrou dados da TSMC através de ataque contra fornecedora
Grupo hacker afirma que sequestrou dados da TSMC através de ataque contra fornecedora