Microsoft descobre driver da Huawei permitindo hackers de colocarem Backdoor em Laptops

A Huawei, que está no centro de um longo escândalo acusando a China de espionar estabelecimentos ocidentais, está enfrentando críticas depois que a Microsoft descobriu uma vulnerabilidade na série de notebooks Matebook que poderia ter permitido acesso remoto de hackers ao sistema, informou a Ars Technica .

A Microsoft disse que as falhas de segurança foram descobertas pelos sensores de kernel ATP (Proteção Avançada contra Ameaças) do Windows Defender, que rastrearam a vulnerabilidade de volta para um driver da Huawei.

O relatório observou que o driver da Huawei permitido para o gerenciamento de dispositivos remotos também permitiu o acesso ao sistema operacional Windows 10 OS, permitindo assim um hacker colocar o backdoor.

“Investigações posteriores revelaram que nesta ocasião em particular, não era um malware que estava injetando e executando código em um processo do usuário; era um driver escrito pela Huawei. O driver da Huawei deveria agir como um tipo de cão de guarda: serviço de modo de usuário que faz parte do software PCManager, e se esse serviço falhar ou parar de executar, o driver o reiniciará. Para executar essa reinicialização, o driver injetou o código em um processo privilegiado do Windows e executou esse código usando um APC técnica tirada diretamente do malware.

Por que a Huawei escolheu esta abordagem não é imediatamente claro, como o Windows tem como um recurso embutido a capacidade de reiniciar os serviços falidos. Não há necessidade de um watchdog externo.

O driver da Huawei fez algumas tentativas para garantir que apenas se comunicasse e reiniciasse o próprio serviço da Huawei, mas permissões impróprias significavam que mesmo um processo sem privilégios poderia sequestrar a instalação do watchdog do driver e usá-la para iniciar um processo controlado pelo invasor com privilégios LocalSystem, dando a esse processo acesso completo ao sistema local.

Os pesquisadores da Microsoft continuaram a olhar para o driver e descobriram que ele tinha outra capacidade defeituosa: ele poderia mapear qualquer página de memória física em um processo do usuário, com permissões de leitura e gravação. Com isso, o processo do usuário pode modificar o kernel ou qualquer outra coisa e, como tal, também representa uma falha enorme. “

A Huawei respondeu à pergunta do Tom’s Hardware sobre a falha de segurança do Matebook. Eles reiteraram que a falha de segurança não foi uma tentativa clandestina de espionar os clientes. A Huawei também sugeriu que pode tomar medidas legais contra a mídia por “relatórios enganosos” sobre este assunto:

“Huawei está preocupado que algumas mídias enganosas que vulnerabilidades anteriores do sistema do PC Manager da Huawei são” backdoors “. A Huawei negou firmemente isso: em seu artigo de pesquisa sobre vulnerabilidade, a Microsoft também afirmou claramente que a vulnerabilidade no Huawei PC Manager é um defeito no projeto de software, não um backdoor.

Em novembro de 2018, a Microsoft descobriu que o Huawei PC Manager estava vulnerável e reportou à Huawei (ID de vulnerabilidade: CVE-2019-5241, CVE-2019-5242). A Huawei analisou e processou o problema pela primeira vez e, em 2019, o patch foi corrigido em janeiro. A Huawei continuará mantendo estreita comunicação e cooperação com os parceiros do setor para melhorar continuamente a segurança dos produtos e proteger os interesses dos usuários contra infrações.

Para relatos enganosos de algumas mídias, a Huawei manterá o direito de proteger seus direitos e interesses por meios legais. “

Então, um driver Huawei inseguro poderia ser uma tentativa mal-intencionada de roubo de dados do cliente? Ou talvez a Microsoft esteja exibindo sua nova plataforma de segurança [ATP]. Você decide.