A ESET, especialista em soluções de cibersegurança, publicou uma investigação sobre a forma como os controladores, conhecidos como drivers, podem ser abusados, tornando-se vulneráveis do kernel do Windows e uma porta de entrada para o malware.

A empresa explica que existem controladores de kernel supostamente legítimos, que são utilizados normalmente por programadores de “cheats” para videojogos, usados para contornar os mecanismos antibatota. Porém, a ESET afirma que observou o seu uso em ameaças persistentes avançadas e em malware tradicional. Os especialistas afirmam que estes controladores se tornam, com frequência, em pontos de acesso desprotegidos até ao kernel do Windows para agentes maliciosos.

Os controladores de software, que fazem parte do kernel do Windows, ou seja, a componente central do sistema operativo, fornecem funcionalidades específicas não-relacionadas com hardware, tais como diagnósticos de software e análise de sistemas, por exemplo. Este tipo de controlador pode aumentar significativamente os ataques.

eset
eset

No geral, as novas versões do Windows já não permitem carregar controladores maliciosos não assinados, mas a ESET descobriu que existem múltiplos controladores de diversas fabricantes de hardware e software que “abrem portas” ao acesso ao kernel do Windows com facilidade. E as respetivas vulnerabilidades dos controladores passam pela não inclusão de proteções para limitar o acesso de leitura e escrita de MSR (registos de modelo específico) críticos; expõe a capacidade de mapear a memória física e virtual a partir do modo utilizador para leitura e escrita.

Conhecido como BYOVD, sigla inglesa para “traga o seu próprio controlador vulnerável”, a técnica é utilizada pelos hackers quando precisam correr malware no kernel do Windows em sistemas x64. Basta carregar o código malicioso através de um controlador de kernel vulnerável. O seu uso foi observado pelos investigadores da ESET, como o grupo APT Slingshot, que implementou o seu módulo principal conhecido como Cahnadr, como um controlador de kernel que pode ser carregado por controladores assinados vulneráveis. Também o grupo APT InvisiMole, descoberto pela ESET em 2018. O InvisiMole foi até agora o único caso observado de um ataque MSR em Windows 10 x64 feito na vida real por um agente malicioso.

Também o ransomware RobbinHood foi dado como exemplo, sendo um malware tradicional com o objetivo de chegar ao maior número de pessoas possível. Ainda assim, a ESET diz que este tipo de malware raramente utiliza a técnica BYOVD, embora seja eficaz. Este ransomware é descrito como capaz de tirar partido de um controlador de uma motherboard GIGABYTE vulnerável para desativar a proteção de assinatura dos controladores e instala o seu próprio controlador.

A ESET diz que contactou os fornecedores dos sistemas com vulnerabilidades, que se demonstram proactivas em corrigir os problemas de segurança detetados. A especialista deixou ainda algumas sugestões para mitigar possíveis infeções. Entre elas a segurança baseada em virtualização, uma funcionalidade do Windows 10 que permite virtualizar o hardware para isolar o kernel numa sandbox; a revogação de certificados de controladores vulneráveis para o desativar; criar uma lista de controladores bloqueados, uma medida usada pela Mirosoft e outros fornecedores de produtos como a ESET. Este deteta e remove controladores vulneráveis comuns quando encontrados num sistema.