Por conterem instruções para o uso do hardware, drivers podem ter acesso ao kernel (núcleo) do sistema operacional. É por isso que o Windows exige que os drivers tenham uma assinatura criptográfica reconhecida pela Microsoft. Prova disso é que, em 2020, o Windows 10 passou a bloquear drivers sem esse recurso. Mas, aqui, a máxima de que não existe nada 100% seguro está fortemente presente. As empresas de segurança Mandiant, Sophos e SentinelOne revelaram que drivers assinados por meio do Windows Hardware Developer Program estavam sendo usados para fins maliciosos.
Como isso é possível?
Para que um driver seja assinado, o desenvolvedor de um hardware deve obter um certificado de validação estendida que prove a sua identidade à Microsoft. Esse certificado é vinculado à conta do desenvolvedor no Windows Hardware Developer Program. No passo seguinte, o driver deve ser submetido à Microsoft para validação. O truque está em manipular esse processo. A SentinelOne explica que os invasores desenvolveram drivers que, apesar de maliciosos, conseguem passar pelas verificações de segurança da Microsoft durante a análise. Se o driver é aprovado, ele é tido como confiável pelo sistema operacional. É aí que os problemas começam.
Ataques de ransomware
De acordo com a Mandiant, pelo menos nove grupos vinham explorando esse truque. A Sophos destaca a atuação da gangue de ransomware Cuba que, apesar do nome, teria ligação com a Rússia. Em conjunto com um malware chamado BurntCigar, o ransomware tenta desativar as ferramentas de segurança do computador por meio do driver. Os processos de mecanismos de segurança são protegidos pelo sistema. Não dá para desativá-los como se eles fossem softwares comuns. Para burlar essa proteção, os grupos de ransomwares podiam recorrer a um “kit” com dois componentes: o Stonestop e o Poortry. O Stonestop tenta encerrar os processos dos recursos de segurança. Para isso, ele aciona o Poortry, que é um driver assinado. Como tal, o Windows não barra a ação do Poortry. Com o sistema desprotegido, o ransomware ou qualquer outro malware tem caminho livre.
A reação da Microsoft
As três empresas de segurança reportaram o problema à Microsoft. Desde então, a companhia vem atuando para conter o esquema. Para começar, o Microsoft Defender foi habilitado, por meio de updates, para detectar os drivers assinados, mas maliciosos. Além disso, atualizações de segurança para Windows foram lançadas de modo a revogar os certificados comprometidos. As contas usadas para o envio dos drivers problemáticos foram suspensas. A Microsoft só não explicou como esses drivers passaram por seu processo de revisão. Por outro lado, a companhia afirmou que está trabalhando com parceiros do Microsoft Active Protections Program para desenvolver mecanismos de proteção mais eficazes. Com informações: BleepingComputer.