Há elementos do Windows que se pensam ser seguros e que não podem ser usados para trazer problemas para este sistema da Microsoft. Os drivers são um destes elementos e que estão protegidos por várias camadas de proteção.
A verdade é bem diferente, como agora está a ser revelado. Os drivers afinal estão também vulneráveis e mesmo os com a garantia da Microsoft podem ser usados por atacantes para espalhar malware e assim colocar o Windows e os seus utilizadores em risco.
Drivers assinados pela Microsoft trazem malware
Ao ser assinado, um driver passa a ter a garantida da Microsoft de que é seguro. Não é um processo acessível a qualquer fabricante ou programador, e requer que um conjunto de validações e garantias até ter acesso a este mecanismo. Além disso, há ainda a validação da própria Microsoft.
Do que é revelado agora, o processo poderá estar corrompido, visto que vários drivers estão a surgir com a presença de malware. O alerta vem de várias fontes (Mandiant, Sophos e SentinelOne) que trabalharam em conjunto e que descobriram a falha que está a ser usada ativamente.
O grande problema é que estes drivers têm um nível de permissões elevadas e não podem ser desativados ou controlados pelo sistema. Para além disso, e por serem de aparente confiança para o Windows, os utilizadores autorizam a sua instalação.
Usados para atacar o Windows e com muito sucesso
Uma vez instaladas, estas cargas maliciosas tentam desabilitar as ferramentas de segurança do Windows e propagar-se. Ao ter estes níveis de prioridade elevada dentro o sistema da Microsoft, muitas vezes os drivers conseguiam avançar para patamares mais sensíveis.
A Microsoft já foi alertada para esta situação, tendo tomado por isso medidas concretas. Ativou no Microsoft Defender a deteção destes drivers maliciosos e aumentou os mecanismos de proteção do Windows, para assim proteger os utilizadores.
Mais uma vez os atacantes estão a procurar usar um elemento que é confiável para assim atacar o Windows e outras propostas da Microsoft. As defesas estão ativadas, mas em muitos casos podem ser insuficientes para travar estes ataques.