A Microsoft falhou em proteger adequadamente os PCs Windows contra os drivers maliciosos durante quase três anos, de acordo com um relatório da Ars Technica. Embora a Microsoft diga que as suas atualizações do Windows adicionam novos drivers maliciosos a uma lista de bloqueio nos dispositivos, a Ars Technica descobriu que essas atualizações nunca os conseguiram travar.
Esta lacuna deixou os utilizadores vulneráveis a um certo tipo de ataque chamado BYOVD. Os Drivers são os arquivos que o sistema operativo do computador usa para comunicar com os dispositivos e hardwares externos, como uma impressora, placa gráfica ou webcam. Como os drivers podem aceder ao núcleo do sistema operativo de um dispositivo, ou kernel, a Microsoft exige que todos os drivers sejam assinados digitalmente, provando que são seguros de usar. Mas se um driver existente, assinado digitalmente, tiver uma falha de segurança, os hackers podem explorar isso e obter o acesso direto ao Windows.
Em agosto, os hackers instalaram o ransomware BlackByte num driver vulnerável usado para o utilitário de overclocking MSI AfterBurner. Outro incidente recente envolveu cibercriminosos que exploraram uma vulnerabilidade no driver anti-cheat no jogo Genshin Impact. O grupo de hackers norte-coreano Lazarus realizou um ataque BYOVD a um funcionário aeroespacial na Holanda e a um jornalista político na Bélgica em 2021, mas a empresa de segurança ESET só o revelou no final do mês passado.
Thanks for all the feedback. We have updated the online docs and added a download with instructions to apply the binary version directly. We're also fixing the issues with our servicing process which has prevented devices from receiving updates to the policy.
— Jeffrey Sutherland (@j3ffr3y1974) October 6, 2022
Conforme observado pela Ars Technica, a Microsoft usa algo chamado integridade de código protegida por hipervisor (HVCI) que deveria proteger contra os drivers maliciosos, que a empresa diz que tem vindo a habilitar por padrão em certos dispositivos Windows. No entanto, Ars Technica e Will Dormann, analista sénior de vulnerabilidades da empresa de segurança cibernética Analygence, descobriram que esse recurso não oferece proteção adequada contra os drivers maliciosos.
Num tópico publicado no Twitter em setembro, Dormann explica que conseguiu baixar com sucesso um driver malicioso num dispositivo habilitado para HVCI, mesmo com o driver na lista de bloqueio da Microsoft. Mais tarde, ele descobriu que a lista de bloqueio da Microsoft não é atualizada desde 2019 e que os recursos de redução da superfície de ataque (ASR) da Microsoft também não protegem contra os drivers maliciosos. Isso significa que qualquer dispositivo com HVCI habilitado não foi protegido contra os drivers infetados durante cerca de três anos.
A Microsoft não abordou as descobertas de Dormann até o início deste mês. “Atualizamos os documentos online e adicionamos um download com instruções para aplicar a versão binária diretamente”, disse o gerente de projetos da Microsoft, Jeffery Sutherland, em resposta aos tweets de Dormann. “Também estamos a corrigir os problemas com o nosso processo de manutenção que impediu que os dispositivos recebessem atualizações.” Desde então, a Microsoft forneceu as instruções sobre como atualizar manualmente a lista de bloqueio com os drivers vulneráveis que estão a faltar há anos, mas ainda não está claro quando a Microsoft irá começar a adicionar automaticamente os novos drivers à lista.
“A lista de drivers vulneráveis é atualizada regularmente, mas recebemos feedback de que houve uma lacuna na sincronização entre as versões do sistema operativo”, disse um porta-voz da Microsoft num comunicado à Ars Technica. “Nós corrigimos isso e será atendido nas próximas e futuras atualizações do Windows. A página de documentação será atualizada à medida que novas atualizações forem lançadas.”
Fonte: Arstechnica
