Há elementos do WindowsAMP que se pensam ser seguros e que não podem ser usados para trazer problemas para este sistema da MicrosoftAMP. Os drivers são um destes elementos e que estão protegidos por várias camadas de proteçãoAMP.
A verdade é bem diferente, como agora está a ser revelado. Os drivers afinal estão também vulneráveis e mesmo os com a garantia da MicrosoftAMP podem ser usados por atacantes para espalhar malwareAMP e assim colocar o WindowsAMP e os seus utilizadores em risco.
Ao ser assinado, um driver passa a ter a garantida da MicrosoftAMP de que é seguro. Não é um processo acessível a qualquer fabricante ou programador, e requer que um conjunto de validações e garantias até ter acesso a este mecanismo. Além disso, há ainda a validação da própria MicrosoftAMP.
Do que é revelado agora, o processo poderá estar corrompido, visto que vários drivers estão a surgir com a presença de malwareAMP. O alerta vem de várias fontes (Mandiant, Sophos e SentinelOne) que trabalharam em conjunto e que descobriram a falha que está a ser usada ativamente.
O grande problema é que estes drivers têm um nível de permissões elevadas e não podem ser desativados ou controlados pelo sistema. Para além disso, e por serem de aparente confiança para o WindowsAMP, os utilizadores autorizam a sua instalação.
Uma vez instaladas, estas cargas maliciosas tentam desabilitar as ferramentas de segurançaAMP do WindowsAMP e propagar-se. Ao ter estes níveis de prioridade elevada dentro o sistema da MicrosoftAMP, muitas vezes os drivers conseguiam avançar para patamares mais sensíveis.
A MicrosoftAMP já foi alertada para esta situação, tendo tomado por isso medidas concretas. Ativou no MicrosoftAMP Defender a deteção destes drivers maliciosos e aumentou os mecanismos de proteçãoAMP do WindowsAMP, para assim proteger os utilizadores.
Mais uma vez os atacantes estão a procurar usar um elemento que é confiável para assim atacar o WindowsAMP e outras propostas da MicrosoftAMP. As defesas estão ativadas, mas em muitos casos podem ser insuficientes para travar estes ataques.
Fonte: pplware.sapo.pt
Subscribe to get the latest posts sent to your email.