A gigante tecnológica de Redmond continua empenhada em fortalecer as barreiras do seu sistema operativo contra ataques cibernéticos. Como é tradição na segunda terça-feira de cada mês, conhecida como "Patch Tuesday", a empresa lançou novas correções de segurança. Desta vez, a atualização de novembro de 2025 trouxe uma mitigação de segurança crucial para o controlador do Common Log File System (CLFS) no Windows 11 25H2 e no Windows Server 2025.
Esta alteração visa combater um vetor de ataque historicamente problemático, introduzindo um código de autenticação de mensagem baseado em hash (HMAC) nos ficheiros de registo do CLFS. O objetivo é simples mas vital: garantir que estes ficheiros não são adulterados por agentes maliciosos.
O mecanismo implementado pela Microsoft funciona através da combinação dos dados do ficheiro com uma chave criptográfica única do sistema, armazenada no registo. O acesso a esta chave é altamente restrito, estando limitado a administradores e contas SYSTEM. Na prática, o emissor calcula um valor hash sobre os dados e transmite ambos; o recetor, usando a mesma chave secreta, recalcula o hash para verificar se existe correspondência. Se for detetada qualquer adulteração, o ficheiro de registo simplesmente não abrirá, prevenindo a execução de código malicioso.
Impacto no desempenho e requisitos de armazenamento
Embora a segurança seja a prioridade, esta medida de "endurecimento" do sistema não vem sem custos para a performance e recursos da máquina. A empresa alerta que o processo de gerar e verificar estes códigos de autenticação exige espaço adicional em disco e aumenta significativamente as operações de entrada/saída (I/O).
Segundo os dados técnicos revelados, o tempo médio necessário para escrever um registo num ficheiro log duplicou com esta alteração. Além disso, o espaço ocupado cresce proporcionalmente ao tamanho do ficheiro contentor: um ficheiro de 512KB necessitará de cerca de 8KB extra, enquanto um contentor de 4GB poderá requerer mais de 2MB adicionais apenas para armazenar os códigos de autenticação.
Para facilitar a transição e evitar quebras abruptas em ambientes empresariais, foi implementado um "modo de aprendizagem" de 90 dias após a instalação das atualizações. Durante este período, os códigos são adicionados automaticamente aos ficheiros de registo existentes assim que estes são abertos.
Terminado este prazo, o sistema entrará em modo de imposição, exigindo que todos os ficheiros contenham códigos válidos. Os administradores de sistemas são aconselhados a garantir que os registos são acedidos durante este período ou a utilizar o utilitário de linha de comandos fsutil clfs authenticate para atualizar ficheiros não abertos, conforme detalhado no artigo de suporte oficial da Microsoft.
Esta é uma medida importante para mitigar vulnerabilidades de escalada de privilégios que têm afetado o subsistema de registo do Windows, usado tanto por aplicações em modo de utilizador como em modo kernel.
Nenhum comentário
Seja o primeiro!