O Windows possui diversas partes para funcionar corretamente, entre as quais se encontram os drivers. Estes pequenos ficheiros são essenciais para que o hardware possa comunicar corretamente com o software, e em parte, é o que permite uma grande parte do sistema funcionar sem problemas.
Tendo em conta a sua integração com o Windows, os drivers são também bastante importantes a nível de segurança. Todos os ficheiros de drivers necessitam de ser assinados e certificados pela Microsoft para poderem garantir que são aceites corretamente no Windows.
Isto previne que possíveis drivers maliciosos possam ser instalados no sistema, obtendo permissões elevadas para as suas atividades maliciosas – e ainda mais escondidos dos tradicionais softwares de segurança.
A Microsoft conta com um programa de desenvolvimento para os fabricantes de hardware, onde estes podem certificar os seus drivers para poderem ser usadas no Windows. Este será um processo fundamental para quem pretenda usar componentes diversos dentro do Windows.
Todos os drivers necessitam de ser revistos manualmente pela Microsoft antes de serem certificados. No entanto, é aqui que se encontra um recente problema.
A Microsoft confirmou ter conhecimento que algumas entidades dentro deste processo terão usado drivers certificados pela Microsoft para distribuir malware em diversos sistemas Windows. As empresas de segurança SentinelOne, Mandiant e Sophos terão alertado a empresa para o facto que drivers certificados pela mesma estariam a ser usadas para campanhas de ransomware.
Os criminosos terão conseguido obter a certificação direta da Microsoft para os drivers, colocando os mesmos em software diverso que, uma vez instalado no Windows, poderia levar a ataques de ransomware. Como as drivers possuem um acesso direto ao kernel do Windows, a maioria dos ataques não eram identificados pelos softwares de segurança tradicionais.
Ao mesmo tempo, como os drivers estariam também certificados pela Microsoft, estes eram aceites no Windows sem problemas.
Segundo a investigação da empresa, os drivers assinados para atividades maliciosas pertencem às empresas:
- Qi Lijun
- Luck Bigger Technology Co., Ltd
- XinSing Network Service Co., Ltd
- Hangzhou Shunwang Technology Co.,Ltd
- Fuzhou Superman
- Beijing Hongdao Changxing International Trade Co., Ltd.
- Fujian Altron Interactive Entertainment Technology Co., Ltd.
- Xiamen Hengxin Excellence Network Technology Co., Ltd.
- Dalian Zongmeng Network Technology Co., Ltd.
No entanto, a lista pode ser mais alargada, sendo que a investigação ao caso ainda se encontra a decorrer. Para já a Microsoft lançou uma atualização para o Windows que se fora em remover os drivers destas entidades do sistema, bem como colocar os mesmos sinalizados como sendo maliciosos. O Microsoft Defender também foi atualizado para detetar estes drivers como malware.
Para já, os utilizadores apenas necessitam de garantir que os seus sistemas estão atualizados para as versões mais recentes do Windows. A Microsoft alerta igualmente para a necessidade de os utilizadores terem sempre cuidados redobrados na instalação de software de terceiros, sobretudo de fontes desconhecidas.
Nenhum comentário
Seja o primeiro!