Um malware conseguiu contornar o sistema de segurança implementado pela Microsoft para se instalar em máquinas com Windows 10 sem ser detectado. O rootkit conhecido como “Netfilter” parece ter a função primária de “escutar conexões SSL”, o que, em tese, permite a um hacker observar o tráfego e interceptar dados sigilosos.
A descoberta foi feita pelo pesquisador de segurança digital Karsten Hahn, que trabalha na empresa G Data. Sua companhia identificou o malware em uma análise separada, mas inicialmente ele pensou tratar-se de um falso positivo, já que a Microsoft havia assinado o Netfilter em seu Programa de Compatibilidade de Hardware do Windows (WHCP).
Leia também
- Cuidado! Usuários do WhatsApp GB podem ser banidos da plataforma para sempre
- Erro de algoritmo do Google atrela foto de usuário comum a serial killer
- Malware de mineração de criptomoedas pega carona em versões piratas de jogos populares
Contextualizando: há mais de uma década, a Microsoft implementou um programa que exige assinaturas e certificados válidos de segurança digital para empresas terceiras que desenvolvam recursos para o Windows. Sem as devidas validações desses certificados, o recurso em questão é marcado pelo Windows Defender e barrado de funcionar na máquina – isso, se ele ainda conseguir se instalar.
Um rootkit – o tipo de malware correspondente ao Netfilter – é escrito de forma impede que seja “visto” pelo sistema operacional. Este requer certificados de autenticação de tráfego para dados enviados por meio de conexões SSL seguras e criptografadas (protocolo TLS, ou “Transport Layer Security”).
Essas conexões, em tese, só permitem que o conteúdo que circula por elas seja visto por quem o envia e por quem o recebe. É a chamada “criptografia de ponta a ponta” que você ouve falar em apps como WhatsApp, Zoom e similares.
Isso segue um protocolo específico para garantir que a segurança seja genuína e confiável. Certificados do tipo são emitidos por autoridades digitais parceiras da Microsoft.
Ao instalar um certificado falso, o Netfilter contorna essa necessidade. E como o Windows não o “enxerga”, os mecanismos de defesa do sistema operacional não vão identificá-lo e, evidentemente, não poderão removê-lo.
O pesquisador especializado em engenharia reversa Johann Aydinbas, via Twitter, deu mais alguns detalhes do Netfilter, explicando que seu trabalho é justamente o de plantar uma “escuta” em conexões SSL, além de instalar e proteger um certificado falso no registro de sistema.
Com isso, o malware passava pelo sistema de segurança da Microsoft, roubando seus dados e encaminhando-os para um servidor controlado pelo hacker – neste caso, localizado no endereço “hxxp://110.42.4.180:2081/s” já sem a criptografia de proteção.
A Microsoft comentou o caso em um post publicado em seu blog de segurança, dizendo que, até o momento, não identificou nenhuma situação de exploração dessa falha, no intuito de tranquilizar seus consumidores. Ela reconhece, no entanto, que o caso é grave:
“A Microsoft está investigando a ação de distribuição de drivers maliciosos dentro de ambientes de jogos. O proprietário entregou o driver para certificação por meio do WHCP. Os drivers em si foram construídos por uma empresa terceirizada. Nós suspendemos a conta e revisamos seus pedidos de certificação em busca de sinais adicionais de emprego de malware”, diz trecho do post.
A empresa também atualizou seus registros de assinatura de malware para que o Netfilter seja apropriadamente identificado daqui em diante.
Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!
Tags: