28 de outubro de 2024

Falha grave no Windows facilita ataques de Kernel com drivers não assinados

Compartilhe

Pesquisadores de cibersegurança descobriram uma vulnerabilidade que possibilita contornar o sistema de assinatura de drivers da Microsoft, abrindo caminho para a instalação de rootkits em sistemas Windows. A técnica, chamada de “downgrade do sistema operacional”, permite que invasores carreguem drivers não assinados no kernel, comprometendo a segurança e permitindo ocultar processos e atividades de rede maliciosas.

Método de ataque e ferramentas utilizadas

Segundo o pesquisador Alon Leviev, a vulnerabilidade é explorada por uma ferramenta chamada “Windows Downdate”. Ela sequestra o processo de atualização do Windows para fazer um downgrade invisível e irreversível em componentes críticos do sistema. Isso permite reverter o sistema para versões antigas que contenham falhas corrigidas, facilitando a exploração. Esse método é uma evolução dos ataques conhecidos como Bring Your Own Vulnerable Driver (BYOVD), pois oferece aos invasores maior controle sobre o sistema comprometido.

Respostas da Microsoft e mitigações recomendadas

A Microsoft já tratou falhas relacionadas a esse tipo de ataque nas atualizações de segurança de agosto e outubro de 2024, abordando vulnerabilidades como CVE-2024-21302 e CVE-2024-38202. Entretanto, a técnica mencionada por Leviev ainda explora uma vulnerabilidade documentada por Gabriel Landau em julho de 2024, chamada “ItsNotASecurityBoundary”. Ela permite substituir um arquivo de catálogo de segurança por uma versão adulterada, forçando o sistema a carregar drivers não assinados e permitindo a execução de código no kernel.

Como proteger seu sistema

Embora a Virtualização Baseada em Segurança (VBS) possa mitigar esses ataques, ela deve ser configurada corretamente para ser eficaz. O VBS verifica a integridade do catálogo por meio da biblioteca “skci.dll” em vez de “ci.dll”, o que ajuda a impedir a exploração. Contudo, invasores ainda podem desativar o VBS alterando configurações no Registro do Windows ou modificando o “SecureKernel.exe”.

Para uma proteção eficaz, a Microsoft recomenda ativar o VBS juntamente com o bloqueio UEFI e um sinalizador obrigatório no registro. Esse conjunto de medidas impede que o sistema inicialize se módulos críticos estiverem ausentes ou corrompidos, reforçando a segurança contra essa nova técnica de ataque.

Fonte: BoletimSec

Saiba mais sobre o Seguro Cyber:

windows ataques seguro cyber

Publicado em: seguro cyber

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Analytics".
cookielawinfo-checkbox-functional	11 months	O cookie é definido pelo consentimento do cookie GDPR para registrar o consentimento do usuário para os cookies na categoria "Funcional".
cookielawinfo-checkbox-necessary	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. Os cookies são usados para armazenar o consentimento do usuário para os cookies na categoria "Necessário".
cookielawinfo-checkbox-others	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Outros.
cookielawinfo-checkbox-performance	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Desempenho".
viewed_cookie_policy	11 months	O cookie é definido pelo plug-in GDPR Cookie Consent e é usado para armazenar se o usuário consentiu ou não com o uso de cookies. Não armazena nenhum dado pessoal.

Manchetes do Mercado

Falha grave no Windows facilita ataques de Kernel com drivers não assinados

Método de ataque e ferramentas utilizadas

Respostas da Microsoft e mitigações recomendadas

Como proteger seu sistema

Saiba mais sobre o Seguro Cyber:

Veja mais