NOTÍCIAS

[ANONYMOUS][grids]

Registro simples do Windows, abre portas para código malicioso


verificação da assinatura digital da Uindows é um mecanismo incluído no Microsoft Windows para garantir que o software ou o driver que você está tentando instalar está assinado por uma entidade confiável e a integridade do arquivo binário é preservada. Este fuzileiro digital é feito com a ajuda de sua tecnologia de assinatura de código residencial chamada Authenticode.

É possível desativar a verificação de assinatura digital do Windows quando enfrentamos problemas para instalar drivers. Mas, parece que existem outras maneiras não convencionais de fazê-lo, o que poderia invocar coisas indesejadas no nosso computador.
Matt Graeber é um pesquisador de segurança da SpecterOps, Inc. Ao falar no DerbeyCon 7.0, ele falou sobre as duas edições de registro do Windows que ele descobriu, o que pode ser usado para ignorar a verificação de assinatura digital do Windows, relatórios TechTarget . Isso também é explicado em seu whitepaper intitulado " Subverting Trust in Windows ".
Editar um dos dois registros retornaria "o mesmo certificado da Microsoft para qualquer arquivo executável se ele possui uma assinatura Authenticode embutida ou não", ele escreveu no documento.
No outro caso, se um arquivo tiver um certificado Authenticode legítimo incorporado (tirado de algum outro código válido), a edição do registro permitiria que o arquivo evitasse a verificação da assinatura digital, mesmo que as chaves criptográficas não correspondessem.
Matt disse que ajustar os valores do registro não envolve deixar qualquer código malicioso no sistema. No entanto, ele destacou o fato de que ele tinha privilégios de administrador. Mas, isso não elimina o risco de tais ataques, pois ele pode obter os privilégios remotamente.
Para a demo, ele usou uma máquina que apenas assinava o código assinado pela Microsoft; ele conseguiu validar o código "Hello World", que incorporou um certificado da Microsoft, alterando os valores do registro.
"Eu posso ser quem quer que eu seja, lançando esses dois valores de registro", disse ele ao público. "Eu posso ser a Microsoft ou o Google ou qualquer pessoa neste sistema comprometido".
Matt escreveu em seu artigo que a assinatura de códigos e a validação de confiança são componentes críticos de classificação de malware em várias ferramentas antivírus. Além disso, eles são importantes para ferramentas de listagem de aplicativos como Device Guard e App Locker. "Subverter a arquitetura de confiança do Windows, em muitos casos, também é susceptível de subverter a eficácia dos produtos de segurança".
Quando se trata de validar a confiança, deve haver "múltiplos pontos de entrada de dados" estabelecidos com a ajuda de diferentes métodos, sugeriu. Não devemos depender de um único mecanismo de validação de assinatura.
Você pode ler o artigo de Matt para obter mais detalhes sobre este tópico. Se você tem algo para adicionar, deixe cair seus pensamentos nos comentários.