Como evitar que instaladores usem a brecha do Plug-and-Play do Windows
Por Dácio Castelo Branco | Editado por Claudio Yuge | 02 de Setembro de 2021 às 16h40
O Windows Plug-and-Play permite que automaticamente todo dispositivo USB conectado pela primeira vez ao computador instale os drivers e softwares necessários para seu pleno funcionamento. Porém, uma brecha nesse sistema pode trazer deixar a segurança da máquina vulnerável a ciberataques.
- Testadores do Windows 11 com PCs incompatíveis precisarão voltar ao Windows 10
- Windows 10 bloqueia atualizações em máquinas que usam criptografia russa
- Falha em roteador da TP-Link deixou usuários vulneráveis a ataque
Em uma pesquisa divulgada em agosto, pesquisadores detalharam como o Plug-and-Play pode instalar aplicativos que dão a usuários comuns — inclusive a terceiros — privilégios de sistema no nível mais alto de gerenciamento do Windows, permitindo a execução de qualquer comando na máquina.
A descoberta mostra que dispositivos USB, ao serem conectados pela primeira vez, além dos drivers, podem instalar softwares de controle com programas próprios com privilégio de sistema. Nisso, quando a tela para escolha da pasta para instalação do programa aparece, os usuários podem abrir um console PowerShell (para gerenciamento automatizado de configuração), que também pode ser executado com os privilégios superiores aos que são de fato o do usuário.
Esse bug foi encontrado em executáveis conhecidos como “coinstaladores”, que, segundo a empresa, estão disponíveis em diversos dispositivos USB no mercado. Isso pode ser um perigo para a segurança de sistema, fazendo com que usuários sem autorização de gerenciamento privilegiado assumam controle total da máquina. Porém, uma forma de impedir essa falha já foi encontrada.
O método descoberto pelo analista de vulnerabilidades da Equipe de Resposta de Emergências Computacionais dos EUA (CERT, na sigla em inglês), Will Dormann, consiste em configurar um valor no Registro do Windows que bloqueia a instalação dos chamados “coinstaladores” durante a execução de um processo Plug-and-Play.
Para ativar essa correção, o usuário deve abrir o Editor de Registros e navegar até HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionDevice Installer. Embaixo da única chave presente nessa pasta, deve clicar com o botão direito do mouse, escolher "Novo" e criar uma nova DWORD-32, com o nome DisableCoInstallers e valor 1, conforme visto na imagem abaixo:
Efetuada a adição, o sistema irá bloquear a instalação dos “coinstaladores”. É importante frisar, porém, que essa alteração torna necessário que o usuário realize manualmente o download e a instalação do software de configuração do dispositivo. Os drivers para funcionamento, porém, continuarão sendo inseridos normalmente.
Vale destacar que, embora seja uma vulnerabilidade de dia zero (desconhecidos quando o software foi lançado) do Windows, os fabricantes também têm uma parcela de responsabilidade ao desenvolver os instaladores — evitar que essa brecha fique mais exposta é uma das ações para aumentar a segurança. Além disso, um atacante teria que estar no local para escalar os privilégios de usuário. Dois casos sobre esse assunto ficaram famosos recentemente, como o da Razer e o da SteelSeries.
Fonte: Bleeping Computer