Un software de la relevancia del sistema operativo de Microsoft debe velar de manera exhaustiva por la seguridad de sus cientos de millones de usuarios en todo el mundo. Sin embargo, los ciberdelincuentes, en ocasiones, logran superar estas barreras de protección e infectar equipos que utilizan Windows.
Este tipo de situaciones ya se ha presentado en repetidas ocasiones a lo largo de los últimos años, y lamentablemente, parece que ha vuelto a ocurrir. Recientemente se ha descubierto una vulnerabilidad crítica en el propio sistema de Microsoft que, incluso, es capaz de inutilizar el antivirus integrado en Windows: Microsoft Defender, una solución de seguridad en la que cada vez más usuarios confían y que la compañía mejora de manera constante.
-Una vulnerabilidad que compromete la primera línea de defensa
La gravedad del problema radica en que esta vulnerabilidad puede eludir la primera línea de defensa de cualquier equipo con Windows, dejando a los usuarios expuestos.
Se ha detectado una campaña compleja y bien elaborada que consigue superar la protección de Microsoft Defender, lo que significa que cualquier usuario podría convertirse en víctima. El aspecto más alarmante es que el ataque aprovecha un componente completamente legítimo del propio sistema operativo, lo que dificulta su detección y aumenta su peligrosidad.
-Método de ataque: Bring Your Own Vulnerable Driver (BYOVD)
Este ataque se ejecuta en dos fases claramente diferenciadas, utilizando componentes esenciales de Windows. Se basa en una técnica conocida como Bring Your Own Vulnerable Driver (BYOVD), que emplea controladores legítimos pero vulnerables del sistema para obtener acceso a información y permisos críticos. Estos controladores son piezas fundamentales del software que, al verse comprometidas, abren la puerta a un control casi total del equipo.
La empresa de ciberseguridad GuidePoint Security ha sido la encargada de revelar esta campaña de ataques sofisticados. Según su informe, los atacantes explotan una vulnerabilidad para neutralizar Microsoft Defender, logrando el control del sistema a nivel de kernel.
-Los dos pasos del ataque
En primer lugar, el ataque explota una vulnerabilidad presente en un controlador legítimo del sistema operativo: rwdrv.sys.
Este driver forma parte de la aplicación ThrottleStop, una herramienta conocida por optimizar el rendimiento de procesadores Intel. Mediante esta vulnerabilidad, los atacantes obtienen acceso con privilegios de nivel kernel, lo que les otorga un control elevado sobre el sistema.
En la segunda fase, una vez que el malware obtiene control total, se utilizan estos privilegios para cargar un driver malicioso denominado hlpdrv.sys.
El propósito de este componente es modificar el Registro de Windows con el objetivo de desactivar por completo las protecciones de Microsoft Defender, dejando al sistema indefenso frente a amenazas.
-Consecuencias y medidas preventivas
Tras deshabilitar el antivirus, el malware en este caso, de tipo ransomware se instala en el sistema sin que el usuario lo perciba, poniendo en riesgo todos los datos almacenados. Por este motivo, resulta imprescindible mantener actualizado el software de seguridad, ya sea Microsoft Defender o cualquier otra solución de terceros.
Asimismo, es fundamental evitar el acceso a sitios web sospechosos, no descargar contenido de fuentes no confiables y no abrir enlaces enviados por remitentes desconocidos. Además, en este caso específico, se recomienda actualizar ThrottleStop a la versión 9.6 o superior, la cual corrige la vulnerabilidad presente en el controlador rwdrv.sys.
Este incidente demuestra que, incluso con sistemas de seguridad avanzados, los atacantes continúan encontrando formas ingeniosas de comprometer los dispositivos. Mantener una actitud preventiva, aplicar actualizaciones de seguridad y practicar una navegación responsable siguen siendo las mejores defensas frente a las amenazas cibernéticas más recientes.