Drivers assinados pela Microsoft são usados em ataques de ransomware
O Windows confia em drivers assinados; grupos de ransomware descobriram que podem usar isso para invadir o sistema
Drivers assinados atestam para o sistema operacional que eles não trazem malwares. Ironicamente, especialistas em segurança descobriram que grupos de ransomware estão usando drivers do tipo para ataques em sistemas Windows. Isso é como abrir a porta da sua casa para os bandidos entrarem.
Por conterem instruções para o uso do hardware, drivers podem ter acesso ao kernel (núcleo) do sistema operacional. É por isso que o Windows exige que os drivers tenham uma assinatura criptográfica reconhecida pela Microsoft. Prova disso é que, em 2020, o Windows 10 passou a bloquear drivers sem esse recurso.
Mas, aqui, a máxima de que não existe nada 100% seguro está fortemente presente. As empresas de segurança Mandiant, Sophos e SentinelOne revelaram que drivers assinados por meio do Windows Hardware Developer Program estavam sendo usados para fins maliciosos.
Como isso é possível?
Para que um driver seja assinado, o desenvolvedor de um hardware deve obter um certificado de validação estendida que prove a sua identidade à Microsoft.
Esse certificado é vinculado à conta do desenvolvedor no Windows Hardware Developer Program. No passo seguinte, o driver deve ser submetido à Microsoft para validação.
O truque está em manipular esse processo. A SentinelOne explica que os invasores desenvolveram drivers que, apesar de maliciosos, conseguem passar pelas verificações de segurança da Microsoft durante a análise.
Se o driver é aprovado, ele é tido como confiável pelo sistema operacional. É aí que os problemas começam.
Ataques de ransomware
De acordo com a Mandiant, pelo menos nove grupos vinham explorando esse truque. A Sophos destaca a atuação da gangue de ransomware Cuba que, apesar do nome, teria ligação com a Rússia.
Em conjunto com um malware chamado BurntCigar, o ransomware tenta desativar as ferramentas de segurança do computador por meio do driver.
Os processos de mecanismos de segurança são protegidos pelo sistema. Não dá para desativá-los como se eles fossem softwares comuns. Para burlar essa proteção, os grupos de ransomwares podiam recorrer a um “kit” com dois componentes: o Stonestop e o Poortry.
O Stonestop tenta encerrar os processos dos recursos de segurança. Para isso, ele aciona o Poortry, que é um driver assinado. Como tal, o Windows não barra a ação do Poortry. Com o sistema desprotegido, o ransomware ou qualquer outro malware tem caminho livre.
A reação da Microsoft
As três empresas de segurança reportaram o problema à Microsoft. Desde então, a companhia vem atuando para conter o esquema.
Para começar, o Microsoft Defender foi habilitado, por meio de updates, para detectar os drivers assinados, mas maliciosos.
Além disso, atualizações de segurança para Windows foram lançadas de modo a revogar os certificados comprometidos. As contas usadas para o envio dos drivers problemáticos foram suspensas.
A Microsoft só não explicou como esses drivers passaram por seu processo de revisão. Por outro lado, a companhia afirmou que está trabalhando com parceiros do Microsoft Active Protections Program para desenvolver mecanismos de proteção mais eficazes.
Com informações: BleepingComputer.