Mais de 100 drivers maliciosos assinados para Windows bloqueados pela Microsoft

O aviso de segurança publicado pela Microsoft ontem e rotulado como ADV230001 cobre um problema com muitos drivers certificados pelo Windows Hardware Developer Program que "estavam sendo usados maliciosamente em atividades pós-exploração". Esse problema foi descoberto por pesquisadores da Sophos, que notificaram a Microsoft no início de fevereiro de 2023. Além deles, a Microsoft revela que a Trend Micro e a Cisco forneceram seus próprios relatórios sobre esses problemas, elevando o número total de drivers inseguros (incluindo os não certificados) para 133.

De acordo com a Microsoft, a investigação subsequente revelou que "várias contas de desenvolvedores do Microsoft Partner Center (MPC) estavam envolvidas no envio de drivers maliciosos para obter uma assinatura da Microsoft". Outras medidas também foram tomadas, como a implementação de detecções de bloqueio (começando com o Microsoft Defender 1.391.3822.0) que fornecem proteção contra drivers legitimamente assinados usados em atividades pós-exploração.

Conforme revelado pela Sophos, dois tipos de drivers maliciosos foram usados em vários ataques recentemente. O primeiro era semelhante aos drivers maliciosamente assinados descobertos no ano passado e pertencentes à categoria "Endpoint protection killer", enquanto o outro tipo se assemelha a um rootkit, sendo concebido para ser executado silenciosamente como apenas outra tarefa em segundo plano.

Como de costume, tudo o que os usuários domésticos precisam fazer é manter seu sistema operacional atualizado e nada mais. Esses problemas não afetaram outros dispositivos ou serviços, exceto PCs com Windows, portanto, os usuários do Azure, Xbox ou Microsoft 365 não têm com o que se preocupar.

Compre o Microsoft Surface Laptop Go 2 (8QF-00012) na Amazon