Microsoft no protegió adecuadamente las PC con Windows de controladores maliciosos durante casi tres años, según un informe de Ars Technica. Aunque Microsoft dice que sus actualizaciones de Windows agregan nuevos controladores maliciosos a una lista de bloques descargada por dispositivos, Ars Technica encontró que estas actualizaciones nunca se atascaron.
Esta brecha en la cobertura dejó a los usuarios vulnerables a un cierto tipo de ataque llamado BYOVD, o trajo su propio conductor vulnerable. Los controladores son los archivos que utiliza el sistema operativo de su computadora para comunicarse con dispositivos y hardware externos, como una impresora, una tarjeta gráfica o una cámara web.
Dado que los controladores pueden acceder al núcleo del sistema operativo o núcleo de un dispositivo, Microsoft requiere que todos los controladores estén firmados digitalmente, lo que demuestra que son seguros de usar. Pero si un controlador existente, firmado digitalmente, tiene un agujero de seguridad, los piratas informáticos pueden explotar esto y obtener acceso directo a Windows.
Ya hemos visto varios de estos ataques llevados a cabo en la naturaleza. En agosto, hackers instalaron BlackByte ransomware en un controlador vulnerable utilizado para la utilidad de overclocking MSI AfterBurner. Otro incidente reciente involucró a ciberdelincuentes explotando una vulnerabilidad en el controlador anti-trampa para el juego Impacto de Genshin. El grupo de piratería norcoreano Lazarus libró un ataque BYOVD en un empleado aeroespacial en los Países Bajos y un periodista político en Bélgica en 2021, pero firma de seguridad ESET solo lo sacó a la luz a fines del mes pasado.
Como se señaló por Ars Technica, Microsoft usa algo llamado integridad de código protegida por hipervisor (HVCI) que se supone que protege contra controladores maliciosos, que la compañía dice que viene habilitado por defecto en ciertos dispositivos Windows. Sin embargo, ambos Ars Technica y Will Dormann, analista senior de vulnerabilidad de la compañía de ciberseguridad Analygence, descubrió que esta característica no proporciona protección adecuada contra conductores maliciosos.
Gracias por todos los comentarios. Hemos actualizado los documentos en línea y hemos agregado una descarga con instrucciones para aplicar la versión binaria directamente. También estamos solucionando los problemas con nuestro proceso de servicio que ha impedido que los dispositivos reciban actualizaciones de la política.
— Jeffrey Sutherland ( @ j3ffr3y1974 ) 6 de octubre de 2022
En un hilo publicado en Twitter en septiembre, Dormann explica que pudo descargar con éxito un controlador malicioso en un dispositivo habilitado para HVCI, a pesar de que el controlador estaba en la lista de bloques de Microsoft. Más tarde descubrió que la lista de bloques de Microsoft no se ha actualizado desde 2019, y que las capacidades de reducción de la superficie de ataque de Microsoft (ASR) tampoco protegieron contra controladores maliciosos. Esto significa que cualquier dispositivo con HVCI habilitado no ha estado protegido contra malos conductores durante aproximadamente tres años.
Microsoft no abordó los hallazgos de Dormann hasta principios de este mes. “Hemos actualizado los documentos en línea y hemos agregado una descarga con instrucciones para aplicar la versión binaria directamente,” El gerente de proyecto de Microsoft Jeffery Sutherland dijo en respuesta a los tweets de Dormann. “También estamos solucionando los problemas con nuestro proceso de servicio que ha impedido que los dispositivos reciban actualizaciones de la política.” Desde entonces, Microsoft ha proporcionado instrucciones sobre cómo actualizar manualmente la lista de bloques con los controladores vulnerables que han estado desaparecidos durante años, pero aún no está claro cuándo Microsoft comenzará a agregar automáticamente nuevos controladores a la lista a través de actualizaciones de Windows.
“La lista de controladores vulnerables se actualiza regularmente, sin embargo, recibimos comentarios de que ha habido una brecha en la sincronización entre las versiones del sistema operativo, ” Un portavoz de Microsoft dijo en un comunicado a Ars Technica. “Hemos corregido esto y se prestará servicio en las próximas y futuras actualizaciones de Windows. La página de documentación se actualizará a medida que se publiquen nuevas actualizaciones.” Microsoft no respondió de inmediato a El bordeSolicitud de comentarios de’.