.
Getty Images
Os hackers estão usando software de código aberto que é popular entre os trapaceiros de videogame para permitir que seu malware baseado no Windows contorne as restrições que a Microsoft implementou para impedir a ocorrência de tais infecções.
O software vem na forma de duas ferramentas de software disponíveis no GitHub. Os trapaceiros os usam para assinar digitalmente drivers de sistema maliciosos para que possam modificar os videogames de maneira a dar ao jogador uma vantagem injusta. Os drivers limpam o obstáculo considerável necessário para que o código da trapaça seja executado dentro do kernel do Windows, a camada fortificada do sistema operacional reservada para as funções mais críticas e sensíveis.
Pesquisadores da equipe de segurança Talos da Cisco disseram na terça-feira que vários grupos de ameaças de língua chinesa reaproveitaram as ferramentas – uma chamada HookSignTool e a outra FuckCertVerifyTimeValidity. Em vez de usar o acesso ao kernel para trapacear, os agentes de ameaças o usam para fornecer a seus malwares recursos que, de outra forma, não teriam.
Uma nova maneira de contornar as restrições de driver do Windows
“Durante nossa pesquisa, identificamos agentes de ameaças que utilizam HookSignTool e FuckCertVerifyTimeValidity, ferramentas de forjamento de carimbo de data e hora de assinatura que estão disponíveis publicamente desde 2019 e 2018, respectivamente, para implantar esses drivers maliciosos”, escreveram os pesquisadores. “Embora tenham ganhado popularidade na comunidade de desenvolvimento de truques de jogos, observamos o uso dessas ferramentas em drivers maliciosos do Windows não relacionados a truques de jogos.”
Com o lançamento do Windows Vista, a Microsoft impôs novas restrições estritas ao carregamento de drivers de sistema que podem ser executados no modo kernel. Os drivers são essenciais para que os dispositivos funcionem com software antivírus, impressoras e outros tipos de software e periféricos, mas há muito tempo são uma incursão conveniente para hackers executarem malware no modo kernel. Essas incursões estão disponíveis para os hackers pós-exploração, ou seja, uma vez que eles já obtiveram privilégios administrativos em uma máquina de destino.
Embora os invasores que obtêm tais privilégios possam roubar senhas e tomar outras liberdades, seu malware geralmente deve ser executado no kernel do Windows para executar um grande número de tarefas mais avançadas. De acordo com a política implementada com o Vista, todos esses drivers podem ser carregados somente depois de terem sido aprovados antecipadamente pela Microsoft e, em seguida, assinados digitalmente por uma autoridade de certificação confiável para verificar se são seguros.
Os desenvolvedores de malware com privilégios de administrador já tinham uma maneira bem conhecida de contornar facilmente as restrições do driver. A técnica é conhecida como “traga seu próprio motorista vulnerável”. Ele funciona carregando um driver de terceiros publicamente disponível que já foi assinado e, posteriormente, contém uma vulnerabilidade que permite o controle do sistema. Os hackers instalam a pós-exploração do driver e, em seguida, exploram a vulnerabilidade do driver para injetar seu malware no kernel do Windows.
Embora a técnica exista há mais de uma década, a Microsoft ainda não desenvolveu defesas funcionais e ainda não forneceu nenhuma orientação acionável para mitigar a ameaça, apesar de um de seus executivos elogiar publicamente a eficácia do Windows para se defender contra ela.
A técnica que Talos descobriu representa uma nova maneira de contornar as restrições do driver do Windows. Ele explora uma brecha que existe desde o início da política de avôs em drivers mais antigos, mesmo quando eles não foram revisados quanto à segurança pela Microsoft. A exceção, projetada para garantir que softwares mais antigos ainda possam ser executados em sistemas Windows, é acionada quando um driver é assinado por uma autoridade de certificação confiável do Windows antes de 29 de julho de 2015.
“Se um driver for assinado com sucesso dessa forma, ele não será impedido de ser instalado e iniciado como um serviço”, explicou o post do Talos na terça-feira. “Como resultado, várias ferramentas de código aberto foram desenvolvidas para explorar essa brecha. Esta é uma técnica conhecida, embora muitas vezes negligenciada, apesar de representar uma séria ameaça aos sistemas Windows e ser relativamente fácil de executar devido, em parte, ao fato de as ferramentas estarem disponíveis publicamente.”
.
