O novo jogo de tiro em equipe da Riot Games, Valorant, possui um sistema anti-fraude chamado “Vanguard”, que levantou algumas preocupações de segurança. Quando o jogo é iniciado, o cliente Vanguard é carregado no espaço do usuário. No entanto, existe um driver no modo kernel para o sistema carregado quando você inicializa no Windows.
A Riot afirma que precisa disso, já que algum software de trapaça usa drivers no modo de kernel para evitar a detecção. Aplicativos regulares não podem detectar drivers no modo kernel devido aos privilégios mais altos necessários.
Em fevereiro, a Riot explicou o novo software anti-fraude, inicialmente projetado para uso em League of Legends, e por que ele era necessário.
“Nos últimos anos, os desenvolvedores de truques começaram a alavancar vulnerabilidades ou corromper a verificação de assinatura do Windows para executar seus aplicativos (ou partes deles) no nível do kernel. O problema aqui surge do fato de que o código em execução no modo kernel pode conecte as mesmas chamadas de sistema em que confiaríamos para recuperar nossos dados, modificando os resultados para parecerem legítimos de uma maneira que possamos ter dificuldade em detectar.Nós até vimos hardware especializado utilizando o DMA1 para ler e processar a memória do sistema – um vetor que foi feito perfeitamente, poderia ser indetectável2 do modo de usuário “.
A execução de um driver no modo kernel suscita preocupações de que o Riot esteja melhorando sua detecção de fraude ao custo de aumentar a superfície de ataque do Windows e, no nível da raiz, não menos. Se você se lembra do fiasco do rootkit Sony DRM de 2005 , esse nível de risco pode deixá-lo nervoso.
Os drivers baseados no kernel também podem criar problemas de estabilidade em todo o sistema que trazem com eles o temido BSOD (tela azul da morte).
“Sempre que você tem um driver assim, corre o risco de apresentar problemas de segurança e confiabilidade ao computador”, disse à Ars Technica o pesquisador independente de segurança Saleem Rashid . “Você não recebe tantas mitigações de exploração nos drivers de dispositivo quanto em aplicativos normais, e um bug travará todo o sistema operacional, não apenas o jogo”.
A Riot afirma que contratou três empresas de segurança externas para auditar o software antes de colocá-lo em uso em Valorant. Um deles até executou ataques de “caixa preta” contra o sistema sem sucesso. Ele também disse que sua equipe de Segurança de aplicativos pode detectar e responder a qualquer problema com o Vanguard em poucas horas.
Antes de se preocupar muito com a decisão da Riot de usar um driver baseado em kernel para detecção de fraudes, lembre-se de que não é o único desenvolvedor a usar essa técnica. Battleye, uma popular solução anti-fraude de terceiros, se descreve como um “sistema de proteção baseado em kernel”. Mais notavelmente, jogos como PUBG e Ark: Survival Evolved empregam Battleye. O Fortnite usa o Easy Anti-Cheat, que também funciona de maneira semelhante. Até o momento, não houve grandes problemas de segurança com esses sistemas.
Usuários que acham que esse sistema é um disjuntor podem querer aprovar o Valorant. Em breve, a Vanguard também será empregada em League of Legends. Aqueles que já jogam jogos como Fortnite e PUBG, que usam métodos de mitigação semelhantes, mas separados, podem ficar tentados a dizer: “O que é mais um?” Mas se você acha que os drivers baseados no kernel são análogos às portas da sua casa, pode ver precisamente o que isso implica.