O kernel do Windows serve como uma ponte crítica que conecta seu hardware ao sistema operacional. Com suas robustas medidas de segurança padrão, é difícil para malware se infiltrar em seu sistema. No entanto, as crescentes ameaças de bypass KASLR agora estão se aproveitando de vulnerabilidades em drivers Living Off the Land (LOLDrivers) e ataques de temporização de cache para contornar permissões de acesso elevadas. Embora esses ataques tenham historicamente como alvo sistemas mais antigos, evidências sugerem que agora eles ameaçam o Windows 11 24 horas por dia, 7 dias por semana, expondo memória crítica do kernel. Abaixo, um guia completo sobre como fechar essas brechas de segurança de forma eficaz.
Compreendendo as ameaças de bypass do KASLR
O kernel do Windows regula meticulosamente o acesso a recursos vitais do sistema, incluindo memória e uso da CPU. Uma das principais medidas defensivas empregadas é a Randomização do Layout do Espaço de Endereço do Kernel (KASLR), projetada para ocultar locais de memória, dificultando imensamente o acesso de malware no nível do kernel. No entanto, avanços recentes levaram à utilização de um novo driver, o eneio64.sys, que driblou com sucesso as proteções KASLR no Windows 11 24H2 a partir de junho de 2025.
Este driver específico é categorizado como LOLDriver e pode ser comprometido usando a técnica conhecida como “Low Stub”.Basicamente, os invasores utilizam varreduras de memória e suposições bem fundamentadas para identificar o endereço de memória base do seu sistema. A burla bem-sucedida do kernel abre portas para explorações no mundo real, destacando um nível crítico de ameaça.
Você pode inspecionar manualmente a pasta System32 em busca desses drivers. Se não detectar nenhum driver problemático, isso indica que eles estão ausentes ou foram removidos corretamente.
Outra exploração notável em maio de 2025 envolveu o uso de métodos de temporização de cache para contornar completamente o KASLR. Nesse caso, os invasores mediram a latência de acesso a possíveis endereços de kernel dentro de um intervalo “0xfff” sem a necessidade de obter permissões como SeDebugPrivilege. Embora esse ataque tenha se concentrado principalmente no Windows 10 e em versões anteriores do Windows 11 (21H2, 22H2, 23H2), é essencial que os usuários do Windows 11 migrem para a versão 24H2 ou posterior para reforçar suas defesas. Para usuários que enfrentam problemas de compatibilidade ao atualizar para a versão 24H2, compilamos uma lista de soluções eficazes para facilitar uma transição tranquila.
Identificação de LOLDrivers para mitigar riscos de desvio de KASLR
Após 2025, os aprimoramentos de segurança do kernel no Windows 11 24H2 utilizaram o SeDebugPrivilege para oferecer maior proteção. No entanto, agentes maliciosos continuam a explorar técnicas de desvio do KASLR por meio de LOLDrivers para se infiltrar na versão mais recente do Windows 11.
Para verificar se há drivers de sistema problemáticos, inicie o PowerShell em modo elevado e execute o seguinte comando:
Get-WindowsDriver -Online | Where-Object { $_. OriginalFileName -match "sys"} | Format-Table OriginalFileName, ProviderName
Após executar este comando, monitore a saída em busca de LOLDrivers. Exemplos desses drivers incluem MsIo64.sys, nt3.sys e VBoxTap.sys. Para aumentar sua vigilância, consulte uma lista universal de LOLDrivers.
A Microsoft fornece uma lista completa e atualizada de drivers bloqueados ou desatualizados, incluindo LOLDrivers. Você pode baixar essa lista como um arquivo XML e pesquisar especificamente por drivers problemáticos, como enio64.sys, usando:
Get-WindowsDriver -Online | Where-Object { $_. OriginalFileName -match "eneio64.sys"}
O método descrito garante que seu dispositivo esteja protegido contra LOLDrivers vulneráveis que podem facilitar um desvio do KASLR. Uma abordagem mais intuitiva envolve navegar até Segurança do Windows -> Segurança do dispositivo -> Detalhes do isolamento do núcleo e confirmar se a Integridade da Memória está ativada.
As técnicas de bypass do KASLR assemelham-se ao comportamento do malware Winos 4.0. Ambas são altamente persistentes e distribuem payloads por meio de uma cadeia complexa de ataques.
Fortalecendo a segurança do Windows aplicando o SeDebugPrivilege
Ataques de canal lateral de temporização de cache representam um risco significativo associado às técnicas de bypass KASLR. Quando invasores exploram vários métodos para manipular a memória do kernel diretamente, eles podem expor endereços do kernel sem exigir SeDebugPrivilege, uma medida de segurança crítica aplicada desde o advento do Windows 11 24H2.
No entanto, mesmo usuários do Windows 10 e de versões anteriores do Windows 11 ainda podem reforçar seus sistemas aplicando o SeDebugPrivilege. Veja uma maneira rápida de fazer isso:
Em um dispositivo Windows 10/11 Pro ou Enterprise, pressione o comando Executar, digite secpol.msc, e isso abrirá a janela Política de Segurança Local. Navegue até Políticas Locais -> Atribuição de Direitos de Usuário e clique duas vezes em Depurar Programas.
Clique em “Verificar Nomes” após adicionar novos usuários e clique em OK. Por fim, selecione “Aplicar ” e clique em OK novamente para finalizar as alterações.
Se você usa o Windows 10/11 Home, não terá acesso à Política de Segurança Local. Em vez disso, acesse o Editor do Registro digitando regedit. Navegue até
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Se esta chave ainda não estiver presente, crie-a. Clique com o botão direito para estabelecer um novo valor REG_SZ chamado SeDebugPrivilege, ajustando seu valor para Administrators. Lembre-se de sempre fazer backup do seu registro antes de fazer qualquer alteração.
Para combater ameaças de malware orientadas ao kernel, como desvios do KASLR, é crucial impedir a instalação de drivers sinalizados pela Segurança do Windows. Embora possa haver casos raros em que drivers não assinados sejam necessários, seguir as práticas recomendadas nesse sentido é essencial. Manter seu sistema operacional atualizado e adotar a versão mais recente do Windows é fundamental para garantir a segurança do seu sistema.
Perguntas frequentes
1. O que é KASLR e por que ele é importante para a segurança do Windows?
KASLR, ou Kernel Address Space Layout Randomization, é um recurso de segurança do Windows que randomiza a alocação de memória para processos do kernel, tornando significativamente mais difícil para malware prever onde injetar código malicioso. Esse layout randomizado adiciona uma camada crítica de defesa contra ataques no nível do kernel.
2. Como posso verificar se há LOLDrivers na minha máquina Windows?
Você pode verificar facilmente os drivers LOLDrivers usando o PowerShell em modo elevado. Execute o comando Get-WindowsDriver -Online | Where-Object { $_. OriginalFileName -match "sys"} | Format-Table OriginalFileName, ProviderNamepara visualizar uma lista dos drivers atualmente instalados no seu sistema.
3. O que devo fazer se meu sistema tiver drivers desatualizados ou inseguros?
Caso encontre drivers desatualizados ou potencialmente inseguros, é recomendável desinstalá-los e substituí-los por drivers seguros e atualizados, recomendados pela Microsoft. Além disso, você pode baixar a lista de bloqueio de drivers mais recente da Microsoft para identificar e impedir a instalação de drivers conhecidos como inseguros.
Artigos relacionados:
Compreendendo o lsass.exe: Por que ele consome RAM e sua importância
21:31
Por que a Microsoft está promovendo o armazenamento em nuvem de seus arquivos do Word: principais implicações
21:29
Por que o Linux é o sistema operacional superior para jogos: minha decisão de abandonar o Windows para sempre
19:03
Deixe um comentário