Microsoft terá assinado drivers maliciosas usadas em ransomware

Publicado em por

Microsoft terá assinado drivers maliciosas usadas em ransomware

O Windows possui diversas partes para funcionar corretamente, entre as quais se encontram as drivers. Estes pequenos ficheiros são essenciais para que o hardware possa comunicar corretamente com o software, e em parte, é o que permite uma grande parte do sistema funcionar sem problemas.

Tendo em conta a sua integração com o Windows, as drivers são também bastante importantes a nível de segurança. Todos os ficheiros de drivers necessitam de ser assinados e certificados pela Microsoft para poderem garantir que são aceites corretamente no Windows.

Isto previne que possíveis drivers maliciosas possam ser instaladas no sistema, obtendo permissões elevadas para as suas atividades maliciosas – e ainda mais escondidas de os tradicionais softwares de segurança.

A Microsoft conta com um programa de desenvolvimento para os fabricantes de hardware, onde estes podem certificar as suas drivers para poderem ser usadas no Windows. Este será um processo fundamental para quem pretenda usar componentes diversos dentro do Windows.

Todas as drivers necessitam de ser revistas manualmente pela Microsoft antes de serem certificadas. No entanto, é aqui que se encontra um recente problema.

A Microsoft confirmou ter conhecimento que algumas entidades dentro deste processo terão usado drivers certificadas pela Microsoft para distribuir malware em diversos sistemas Windows. As empresas de segurança SentinelOne, Mandiant e Sophos terão alertado a empresa para o facto que drivers certificadas pela mesma estariam a ser usadas para campanhas de ransomware.

Os criminosos terão conseguido obter a certificação direta da Microsoft para as drivers, colocando as mesmas em software diverso que, uma vez instalado no Windows, poderia levar a ataques de ransomware. Como as drivers possuem um acesso direto ao kernel do Windows, a maioria dos ataques não eram identificados pelos softwares de segurança tradicionais.

Ao mesmo tempo, como as drivers estariam também certificadas pela Microsoft, estas eram aceites no Windows sem problemas.

Segundo a investigação da empresa, as drivers assinadas para atividades maliciosas pertencem às empresas:

  • Qi Lijun
  • Luck Bigger Technology Co., Ltd
  • XinSing Network Service Co., Ltd
  • Hangzhou Shunwang Technology Co.,Ltd
  • Fuzhou Superman
  • Beijing Hongdao Changxing International Trade Co., Ltd.
  • Fujian Altron Interactive Entertainment Technology Co., Ltd.
  • Xiamen Hengxin Excellence Network Technology Co., Ltd.
  • Dalian Zongmeng Network Technology Co., Ltd.

No entanto, a lista pode ser mais alargada, sendo que a investigação ao caso ainda se encontra a decorrer. Para já a Microsoft lançou uma atualização para o Windows que se fora em remover as drivers destas entidades do sistema, bem como colocar as mesmas sinalizadas como sendo maliciosas. O Microsoft Defender também foi atualizado para detetar estas drivers como malware.

Para já, os utilizadores apenas necessitam de garantir que os seus sistemas estão atualizados para as versões mais recentes do Windows. A Microsoft alerta igualmente para a necessidade dos utilizadores terem sempre cuidados redobrados na instalação de software de terceiros, sobretudo de fontes desconhecidas.