.
Imagens Getty
Por quase dois anos, os funcionários da Microsoft falharam em uma importante defesa do Windows, um lapso inexplicável que deixou os clientes abertos a uma técnica de infecção por malware que tem sido especialmente eficaz nos últimos meses.
Os funcionários da Microsoft afirmaram firmemente que o Windows Update adicionará automaticamente novos drivers de software a uma lista de bloqueio projetada para impedir um truque bem conhecido no manual de infecção por malware. A técnica de malware – conhecida como BYOVD, abreviação de “traga seu próprio driver vulnerável” – facilita para um invasor com controle administrativo contornar as proteções do kernel do Windows. Em vez de escrever uma exploração do zero, o invasor simplesmente instala qualquer uma das dezenas de drivers de terceiros com vulnerabilidades conhecidas. Em seguida, o invasor explora essas vulnerabilidades para obter acesso instantâneo a algumas das regiões mais fortificadas do Windows.
Acontece, no entanto, que o Windows não estava baixando e aplicando atualizações corretamente na lista de bloqueio de drivers, deixando os usuários vulneráveis a novos ataques BYOVD.
À medida que os ataques aumentam, as contramedidas da Microsoft definham
Os drivers normalmente permitem que os computadores trabalhem com impressoras, câmeras ou outros dispositivos periféricos — ou façam outras coisas, como fornecer análises sobre o funcionamento do hardware do computador. Para que muitos drivers funcionem, eles precisam de um pipeline direto no kernel, o núcleo de um sistema operacional onde reside o código mais sensível. Por esse motivo, a Microsoft fortalece fortemente o kernel e exige que todos os drivers sejam assinados digitalmente com um certificado que verifica se foram inspecionados e vêm de uma fonte confiável.
Mesmo assim, no entanto, drivers legítimos às vezes contêm vulnerabilidades de corrupção de memória ou outras falhas graves que, quando exploradas, permitem que hackers canalizem seu código malicioso diretamente para o kernel. Mesmo depois que um desenvolvedor corrige a vulnerabilidade, os drivers antigos e com bugs continuam sendo excelentes candidatos para ataques BYOVD porque já estão assinados. Ao adicionar esse tipo de driver ao fluxo de execução de um ataque de malware, os hackers podem economizar semanas de desenvolvimento e tempo de teste.
BYOVD tem sido um fato da vida por pelo menos uma década. O malware apelidado de “Slingshot” empregava o BYOVD desde pelo menos 2012, e outros participantes iniciais da cena do BYOVD incluíam LoJax, InvisiMole e RobbinHood.
Nos últimos dois anos, vimos uma onda de novos ataques BYOVD. Um desses ataques no final do ano passado foi realizado pelo grupo Lazarus, apoiado pelo governo norte-coreano. Ele usou um driver Dell desativado com uma vulnerabilidade de alta gravidade para atingir um funcionário de uma empresa aeroespacial na Holanda e um jornalista político na Bélgica.
Em um ataque BYOVD separado há alguns meses, os cibercriminosos instalaram o ransomware BlackByte instalando e explorando um driver com bugs para o MSI AfterBurner 4.6.2.15658 da Micro-Star, um utilitário de overclock de placa gráfica amplamente usado.
Em julho, um grupo de ameaças de ransomware instalou o driver mhyprot2.sys – um driver anti-fraude obsoleto usado pelo popular jogo Impacto Genshin—durante ataques direcionados que exploraram uma vulnerabilidade de execução de código no driver para penetrar ainda mais no Windows.
Um mês antes, os criminosos que espalhavam o ransomware AvosLocker também abusaram do vulnerável driver anti-rootkit da Strong The One aswarpot.sys para contornar a verificação de vírus.
Posts inteiros do blog foram dedicados a enumerar as instâncias crescentes de ataques BYOVD, com este post da empresa de segurança Eclypsium e este da ESET entre os mais notáveis.
A Microsoft está ciente da ameaça BYOVD e vem trabalhando em defesas para impedir esses ataques, principalmente criando mecanismos para impedir que o Windows carregue drivers assinados, mas vulneráveis. O mecanismo mais comum para bloqueio de driver usa uma combinação do que é chamado de integridade de memória e HVCI, abreviação de integridade de código protegida por hipervisor. Um mecanismo separado para impedir que drivers incorretos sejam gravados no disco é conhecido como ASR ou Redução da superfície de ataque.
Infelizmente, nenhuma das abordagens parece ter funcionado tão bem quanto pretendido.
.
