Notícias de dispositivos móveis, gadgets, aplicativos Android

Se a Microsoft puder ser enganada, quão seguros estaremos?

A Microsoft tem sido notícia ultimamente por causa do Windows 11 anúncio em 24 de junho deste ano. Mas essa não é a única razão pela qual tem sido um tema de discussão entre as pessoas. Existem alguns outros motivos, como as muitas atualizações lançadas junto com as informações sobre malware que foram reveladas recentemente.

O Centro de Resposta de Segurança da Microsoft (MSRC) admitiu que aceitou um driver que incluía um malware Rootkit malicioso que trocava dados com servidores de comando e controle (C2) na China. Parece que certos atores maliciosos enganaram a gigante de Redmond para que assinasse um driver Netfilter que foi projetado para atingir ambientes de jogos. O driver serviu para ocultar a geolocalização do jogador e jogar de qualquer região.

A primeira instância deste malware foi identificada por Karsten Hahn, analista de malware da empresa alemã de segurança cibernética G Data. “”Desde Windows Vista, qualquer código executado no modo kernel deve ser testado e assinado antes do lançamento público para garantir a estabilidade do sistema operacional.” afirmou Hahn. “Drivers sem certificado da Microsoft não podem ser instalados por padrão”, continuou ele.

Como esse malware funcionou?

O MSRC explicou que pessoas com intenções maliciosas usaram esse malware para explorar outros jogadores e comprometer as credenciais de suas contas usando um keylogger. Eles também poderiam ter conseguido hackear outras informações, incluindo informações de cartão de débito/crédito e endereços de e-mail.

É interessante notar que o Netfilter é um pacote de aplicativos legítimo que permite aos usuários habilitar a filtragem de pacotes e traduzir endereços de rede. Ele também pode adicionar novos certificados raiz, configurar um novo servidor proxy e ajudar a modificar as configurações da Internet.

Nós recomendamos:  Seu desejo foi concedido! Surface Duo da Microsoft pode ser lançado muito antes do esperado

Depois que os usuários instalaram este aplicativo em seus sistemas, ele se conectou a um servidor C2 para receber as informações de configuração e atualizações. A Microsoft explicou ainda que as técnicas empregadas no ataque ocorrem pós-exploração, o que indica que o oponente deve primeiro obter privilégios administrativos e depois instalar o driver durante a inicialização do sistema.

“O cenário de segurança continua a evoluir rapidamente à medida que os agentes de ameaças encontram métodos novos e inovadores para obter acesso a ambientes através de uma ampla gama de vetores”, disse MSRC.

Hahn foi a principal pessoa responsável pela descoberta do malware, mas mais tarde juntou-se a outros pesquisadores de malware, incluindo Johann Aydinbas, Takahiro Haruyama e Florian Roth. Ele estava preocupado com o processo de assinatura de código da Microsoft e duvidava que houvesse outro malware oculto no conjunto de drivers aprovados pela Microsoft.

O Modus Operandi de Atores Maliciosos

Assim que a Microsoft foi informada, tomou todas as medidas necessárias para investigar o incidente e tomar medidas preventivas para garantir que não volte a acontecer. A Microsoft afirmou que não há evidências de que os certificados de assinatura de código roubados tenham sido usados. As pessoas por trás desse malware seguiram o processo legítimo de envio de drivers aos servidores da Microsoft e também adquiriram o binário assinado pela Microsoft legalmente.

A Microsoft afirmou que os drivers foram desenvolvidos por um desenvolvedor terceirizado e submetidos para aprovação através do Windows Programa de compatibilidade de hardware. Após este incidente, a Microsoft suspendeu a conta que enviou este driver e passou a analisar todos os envios feitos por essa conta com prioridade máxima.

Além disso, a Microsoft disse que irá refinar suas políticas de acesso de parceiros, bem como seu processo de validação e assinatura para melhorar ainda mais as proteções.

Nós recomendamos:  Como reparar arquivos corrompidos do Excel, PowerPoint e Word em Windows?

Pontos conclusivos sobre a Microsoft aceita assinatura no driver Netfilter que foi carregado com Rootkit Malware

A Microsoft afirma que o malware foi criado para atacar o setor de jogos na China e parece ser obra de apenas alguns indivíduos. Não há conexões que liguem uma organização ou empresa ao malware. No entanto, deve ser entendido que qualquer um desses binários enganosos pode ser aproveitado por qualquer pessoa para iniciar um software em larga escala.

ataque. No passado, tais ataques foram facilitados como o ataque Stuxnet que atacou o programa nuclear do Irão. Isso ocorreu porque os certificados usados ​​para assinatura de código foram roubados da Realtek e JMicron.

Com a Microsoft se preparando para Windows No lançamento de 11 de novembro, este incidente levanta dúvidas sobre a segurança e a proteção que a Microsoft fornece com seus sistemas operacionais. O que você acha? Por favor, compartilhe suas idéias na seção de comentários abaixo. Siga-nos nas redes sociais – Facebook, Instagram e YouTube.