Ataques “Traga seu próprio driver vulnerável” estão quebrando o Windows

0
29


A segurança digital é um jogo constante de gato e rato, com novas vulnerabilidades sendo descobertas tão rápido (se não mais rápido) quanto os problemas mais antigos estão sendo corrigidos. Ultimamente, os ataques “Traga seu próprio driver vulnerável” estão se tornando um problema complexo para PCs com Windows.

A maioria dos drivers do Windows é projetada para interagir com hardware específico; Por exemplo, se você comprar um fone de ouvido Logitech e conectá-lo, o Windows poderá instalar automaticamente um driver feito pela Logitech. No entanto, existem muitos drivers no nível do kernel do Windows que não foram projetados para se comunicar com dispositivos externos. Alguns são usados ​​para depurar chamadas de sistema de baixo nível e, nos últimos anos, muitos jogos para PC começaram a instalá-los como software anti-fraude.

O Windows não permite que drivers de modo kernel não assinados sejam executados por padrão, começando com o Windows Vista de 64 bits, o que reduziu significativamente a quantidade de malware que pode acessar todo o seu PC. Isso levou à crescente popularidade das vulnerabilidades “Traga seu próprio driver vulnerável”, ou BYOVD, que aproveitam os drivers assinados existentes em vez de carregar novos drivers não assinados.

Como as chamadas do sistema funcionam com drivers no Windows
Como as chamadas do sistema funcionam com drivers no Windows ESET

Então, como isso funciona? Bem, esses são programas de malware que encontram um driver vulnerável que já está presente em um PC com Windows. A vulnerabilidade procura um driver assinado que não valida chamadas de registro específico de modelo (MSR) e o explora para interagir com o kernel do Windows por meio do driver comprometido (ou usá-lo para carregar um driver não assinado). Para usar uma analogia da vida real, é como um vírus ou parasita que usa um organismo hospedeiro para se espalhar, mas o hospedeiro neste caso é outro condutor.

Essa vulnerabilidade já foi usada por malware em estado selvagem. Os pesquisadores da ESET descobriram que um programa malicioso, apelidado de ‘InvisiMole’, usou uma vulnerabilidade BYOVD no driver utilitário ‘SpeedFan’ da Almico para carregar um driver malicioso não assinado. A editora de videogames Capcom também lançou alguns jogos com um driver anti-fraude que poderia ser facilmente sequestrado.

As mitigações de software da Microsoft para as infames falhas de segurança Meltdown e Spectre de 2018 também impedem alguns ataques BYOVD e outras melhorias recentes nos processadores x86 da Intel e AMD fecham algumas brechas. No entanto, nem todos têm os computadores mais recentes ou as versões mais recentes do Windows com patches, portanto, o malware usando BYOVD continua sendo um problema contínuo. Os ataques também são incrivelmente complicados, tornando difícil mitigá-los completamente com o modelo de driver atual no Windows.

Windows_Secure_Boot_aktivieren

A melhor maneira de se proteger de qualquer malware, incluindo vulnerabilidades BYOVD, descobertas no futuro é manter o Windows Defender habilitado em seu computador e permitir que o Windows instale atualizações de segurança sempre que elas forem lançadas. O software antivírus de terceiros também pode fornecer proteção adicional, mas o Defender integrado geralmente é suficiente.

Fonte: ESET