Ataques “Traga seu próprio driver vulnerável” estão quebrando o Windows

Um logotipo do Windows em um fundo branco.  Cabeçalho.

A segurança digital é um jogo constante de gato e rato, com novas vulnerabilidades sendo descobertas tão rapidamente (se não mais rápido) quanto problemas mais antigos são resolvidos. Ultimamente, os ataques “Traga seu próprio driver vulnerável” estão se tornando um problema complexo para PCs com Windows.

A maioria dos drivers do Windows são projetados para interagir com hardware específico – por exemplo, se você comprar um fone de ouvido da Logitech e conectá-lo, o Windows poderá instalar automaticamente um driver fabricado pela Logitech. No entanto, existem muitos drivers no nível do kernel do Windows que não se destinam à comunicação com dispositivos externos. Alguns são usados ​​para depurar chamadas de sistema de baixo nível e, nos últimos anos, muitos jogos de PC começaram a instalá-los como software anti-cheat.

O Windows não permite a execução de drivers de modo kernel não assinados por padrão, começando com o Windows Vista de 64 bits, que reduziu significativamente a quantidade de malware que pode obter acesso a todo o seu PC. Isso levou à crescente popularidade das vulnerabilidades “Bring Your Own Vulnerable Driver”, ou BYOVD, para abreviar, que aproveitam os drivers assinados existentes em vez de carregar novos drivers não assinados.

Como funcionam as chamadas do sistema com drivers no Windows

Então, como isso funciona? Bem, envolve programas de malware que encontram um driver vulnerável que já está presente em um PC com Windows. A vulnerabilidade procura um driver assinado que não valida chamadas para  registros específicos do modelo (MSRs) e aproveita isso para interagir com o kernel do Windows por meio do driver comprometido (ou usá-lo para carregar um driver não assinado). Para usar uma analogia da vida real, é como um vírus ou parasita que usa um organismo hospedeiro para se espalhar, mas o hospedeiro, neste caso, é outro fator.

Recomendado:  Como desativar balões de notificação no Android

Esta vulnerabilidade já foi usada por malware à solta. Os pesquisadores da ESET descobriram que um programa malicioso, apelidado de ‘InvisiMole’, usou uma vulnerabilidade BYOVD no driver do utilitário ‘SpeedFan’ da Almico para carregar um driver malicioso não assinado . A editora de videogames Capcom também lançou alguns jogos com um driver anti-cheat que poderia ser facilmente sequestrado .

As mitigações de software da Microsoft para as infames falhas de segurança Meltdown e Spectre de 2018 também evitam alguns ataques BYOVD, e outras melhorias recentes nos processadores x86 da Intel e AMD fecham algumas lacunas. No entanto, nem todo mundo possui os computadores mais recentes ou as versões mais recentes do Windows totalmente corrigidas, portanto, o malware que usa BYOVD ainda é um problema constante. Os ataques também são incrivelmente complicados, por isso é difícil mitigá-los totalmente com o modelo de driver atual do Windows.

A melhor maneira de se proteger contra qualquer malware, incluindo vulnerabilidades BYOVD descobertas no futuro, é manter o  Windows Defender ativado em seu PC e permitir que o Windows instale atualizações de segurança sempre que forem lançadas. Software antivírus de terceiros também pode fornecer proteção adicional, mas o Defender integrado geralmente é suficiente.

Fonte: ESET