Com o fim do suporte técnico da Microsoft ao Windows 10 em outubro de 2025, os especialistas em cibersegurança preparam-se para uma mudança significativa nas práticas de investigação digital. Uma nova análise da Kaspersky analisa de que forma o Windows 11 transforma o panorama forense e o que os profissionais de segurança devem ter em conta nesta nova era do sistema operativo.
Apesar de a adoção do Windows 11 estar a ser mais lenta do que o esperado – com a maioria dos computadores, tanto empresariais como pessoais, ainda a utilizar o sistema operativo anterior – a Microsoft deixou de prestar suporte técnico ao Windows 10 neste mês de outubro. Nesse sentido, os especialistas em cibersegurança preparam-se para uma mudança significativa nas práticas de investigação digital.
Uma análise recente da Kaspersky dá a conhecer as atualizações mais relevantes desta versão do sistema operativo da Microsoft, explicando de que forma o Windows 11 impacta o panorama forense e o que os profissionais de segurança precisam de saber para se adaptarem a esta nova realidade.
Entre as atualizações mais relevantes destaca-se o Recall, uma funcionalidade que captura continuamente imagens do ecrã do utilizador, utiliza um modelo de IA local para extrair informações úteis e armazena imagens e metadados. Esta capacidade cria poderosos artefactos forenses, mas levanta também sérias preocupações em matéria de privacidade e potencial abuso.
Na sua versão mais recente, o Recall inclui um filtro de privacidade concebido para bloquear a gravação de ecrãs que contenham dados sensíveis, como sessões de navegação anónima, campos de pagamento ou gestores de palavras-passe. No entanto, os investigadores alertam que este filtro não é totalmente fiável.
Devido ao seu caráter controverso, a opção vem desativada por predefinição nas versões corporativas do Windows 11. Ainda assim, os especialistas da Kaspersky consideram importante analisar os artefactos que a funcionalidade gera, uma vez que um invasor ou software malicioso pode ativá-la sem o conhecimento do utilizador.
Caso o Recall esteja ativo antes de um incidente de segurança, os dados e imagens recolhidos podem ser uma verdadeira “mina de ouro” forense, permitindo reconstruir detalhadamente a atividade de um atacante dentro de um sistema comprometido. Por outro lado, a mesma funcionalidade pode ser armazenada ou explorada de forma maliciosa, já que as falhas do filtro de privacidade podem expor credenciais e outras informações sensíveis.
Notepad, File Explorer e Command Prompt
As aplicações padrão do Windows também sofreram atualizações na versão 11 do sistema operativo. Em alguns casos, essas melhorias envolveram alterações na interface como na funcionalidade. Especificamente, as aplicações Notepad, File Explorer e Command Prompt passaram agora a suportar o modo multitab.
No caso do Notepad, esta aplicação passa a manter o estado das abas abertas mesmo após o encerramento do processo, criando assim novos artefactos forenses associados à sua utilização.
Pesquisa no Windows
A Pesquisa no Windows (Windows Search) é o mecanismo integrado de indexação e pesquisa de ficheiros do sistema operativo. No Windows 11, a Microsoft substituiu a antiga base de dados única Extensible Storage Engine (ESE), conhecida como Windows.edb, por três bases de dados independentes em formato SQLite. Esta mudança trouxe melhorias significativas em desempenho, modularidade e transparência na indexação de ficheiros, tornando a pesquisa mais rápida e fiável.
Alterações em artefactos familiares
Além dos novos artefactos, o Windows 11 introduziu várias alterações nos artefactos existentes, que os investigadores devem ter em conta ao analisar incidentes.
- Alterações no comportamento dos atributos NTFS: o comportamento dos atributos NTFS foi alterado entre o Windows 10 e o Windows 11 em duas estruturas $MFT: $STANDARD_INFORMATION e $FILE_NAME.
- Assistente de Compatibilidade de Programas: o Assistente de Compatibilidade de Programas (PCA) surgiu pela primeira vez em 2006 e visa executar aplicações concebidas para versões mais antigas do sistema operativo. O Windows 11 introduziu novos ficheiros associados a esta funcionalidade que são relevantes para a análise forense da execução de aplicações e que estão localizados no diretório C:\Windows\appcompat\pca:\:
Importa, ainda, destacar algumas atualizações mais pequenas no Windows 11, mas importantes e que não exigem uma análise detalhada:
- A descontinuação completa do NTLMv1 significa que os ataques do tipo pass-the-hash estão gradualmente a tornar-se coisa do passado;
- Remoção do conhecido artefacto de atividades do Windows Timeline: embora já não seja mantido ativamente, a sua base de dados permanece, por agora, nos ficheiros que contêm informação sobre a atividade do utilizador, localizados em: %userprofile%\AppData\Local\ConnectedDevicesPlatform\ActivitiesCache.db;
- Suporte alargado para o sistema de ficheiros ReFS: a mais recente pré-visualização do Windows 11 permite instalar o sistema operativo diretamente num volume ReFS, sendo também introduzido o suporte ao BitLocker. Este sistema de ficheiros apresenta várias diferenças importantes em relação ao NTFS:
- O ReFS não possui a $MFT (Master File Table), na qual os especialistas forenses confiam e que contém todos os registos de ficheiros atuais no disco;
- Não gera nomes curtos de ficheiros, como o NTFS faz para compatibilidade com o DOS;
- Não suporta hard links nem atributos estendidos de objetos;
- Oferece maior volume máximo e tamanhos de ficheiros individuais (35 PB, comparado com 256 TB no NTFS).
Leia a análise completa da Kaspersky às atualizações dos diferentes recursos no Windows 11 e ao seu impacto no panorama forense da cibersegurança aqui.
Post A Comment:
0 comments: