Microsoft reforça a segurança de drivers no Windows

A Microsoft anunciou mudanças no modelo de confiança de drivers no Windows. O sistema está gradualmente deixando de confiar em drivers assinados sob o programa legado de raiz cruzada.

📍 O que está mudando Anteriormente, os drivers podiam ser assinados com certificados de terceiros e ainda serem carregados pelo sistema. A Microsoft agora está alterando os requisitos: 🔵a confiança permanecerá apenas para drivers assinados através do Windows Hardware Compatibility Program (WHCP); 🔵métodos de assinatura legados estão sendo eliminados do modelo confiável; 🔵controle mais rígido está sendo aplicado ao carregamento de drivers em modo kernel.

❗️Os drivers operam no nível do kernel do SO, portanto, seu comprometimento dá aos invasores o nível mais alto de privilégios. No passado, os invasores confiaram ativamente em: 🔵drivers vulneráveis, conhecidos como Bring Your Own Vulnerable Driver (BYOVD); 🔵drivers legitimamente assinados, mas comprometidos; 🔵métodos de assinatura desatualizados para contornar controles de segurança.

⚠️ Por que isso importa Políticas mais rígidas tornam mais difícil usar drivers desatualizados para escalonamento de privilégios. Os invasores precisarão: 🔵encontrar novos drivers vulneráveis que são assinados através do WHCP; 🔵confiar mais fortemente em componentes legítimos; 🔵mudar para técnicas alternativas para contornar as proteções do kernel.

Ao mesmo tempo, a questão não está totalmente resolvida, pois ataques aproveitando drivers confiáveis, mas vulneráveis, permanecem possíveis.

💬 Discutir