"Microsoft es quien mejor aloja malware del mundo", según un antiguo empleado de su área de seguridad dijo públicamente hace ahora un año. Y es cierto que esta empresa de Redmond sigue protagonizando titulares relacionados con brechas de seguridad graves y con ataques de ransomware. En algunos casos, estas se han conseguido alargar en el tiempo. La última nos llega hoy y lleva tres años activa.
Durante tres años, Microsoft no protegió adecuadamente los PC con Windows (aplica sobre todo para Windows 10 ya que es de los tres últimos años) de controladores maliciosos durante casi tres años, según un informe de Ars Technica. Aunque Microsoft dice que sus actualizaciones de Windows van añadiendo información de nuevos controladores maliciosos a una lista de bloqueo que descargan los dispositivos, Ars Technica descubrió que estas actualizaciones nunca se quedaban guardadas realmente.
Cómo funciona este malware
Este vacío en la cobertura dejó a los usuarios vulnerables a un cierto tipo de ataque llamado BYOVD, o traiga su propio controlador vulnerable. Esta técnica conocida como BYOVD, se produce cuando los actores maliciosos cargan controladores legítimos y firmados en Windows que cuentan con vulnerabilidades conocidas.
Los controladores son los archivos que el sistema operativo de tu ordenador utiliza para comunicarse con dispositivos y hardware externos, como una impresora, una tarjeta gráfica o una cámara web. Dado que los controladores pueden acceder al núcleo del sistema operativo de un dispositivo, o kernel, Microsoft exige que todos los controladores estén firmados digitalmente para así demostrar que su uso es seguro.
Pero si un controlador firmado digitalmente tiene un agujero de seguridad, los hackers pueden aprovecharlo y obtener acceso directo a Windows.
Ejemplos de ataques gracias a este malware
Los investigadores muestra como ejemplos diferentes ataques registrados y que tienen su origen en este problema. En agosto, unos hackers instalaron el ransomware BlackByte en un controlador vulnerable utilizado para la utilidad de overclocking MSI AfterBurner. Otro incidente reciente consistió en que los ciberdelincuentes explotaron una vulnerabilidad en el controlador antitrampas del juego Genshin Impact.
El grupo de piratas informáticos norcoreano Lazarus realizó un ataque BYOVD contra un empleado del sector aeroespacial en los Países Bajos y contra un periodista político en Bélgica en 2021 (aunque la firma de segurudad ESET no lo sacó a la luz hasta finales del mes pasado).
Como señala Ars Technica, Microsoft utiliza una herramienta de nombre integridad del código protegida por el hipervisor (HVCI) que se supone que protege contra los controladores maliciosos, y que la compañía dice que viene activado por defecto en ciertos dispositivos de Windows.
Sin embargo, tanto Ars Technica como Will Dormann, analista principal de vulnerabilidades de la empresa de ciberseguridad Analygence, descubrieron que esta función no ofrece una protección adecuada contra los controladores maliciosos.
The Microsoft recommended driver block rules page states that the driver block list "is applied to" HVCI-enabled devices.
— Will Dormann (@wdormann) September 16, 2022
Yet here is an HVCI-enabled system, and one of the drivers in the block list (WinRing0) is happily loaded.
I don't believe the docs.https://t.co/7gCnfXYIys https://t.co/2IkBtBRhks pic.twitter.com/n4789lH5qy
En un hilo publicado en Twitter en septiembre, Dormann explica que fue capaz de descargar un controlador malicioso en un dispositivo habilitado para HVCI, a pesar de que el controlador estaba en la lista de bloqueo de Microsoft.
Más tarde descubrió que la lista de bloqueo de Microsoft no se ha actualizado desde 2019, y que las capacidades de reducción de la superficie de ataque (ASR) de Microsoft tampoco protegían contra los controladores maliciosos.Por tanto es un peoblema que lleva al menos tres años.
Respuesta de Microsoft
Microsoft abordó estos problemas, según la información que se conoce, a principios de este mes. "Hemos actualizado la documentación en línea y hemos añadido una descarga con instrucciones para aplicar la versión binaria directamente", dijo el director de proyectos de Microsoft, Jeffery Sutherland, en una respuesta a los tuits de Dormann.
"También estamos solucionando los problemas con nuestro proceso de servicio que ha impedido que los dispositivos reciban las actualizaciones de nuestras políticas". Desde entonces, Microsoft ha proporcionado instrucciones sobre cómo actualizar manualmente la lista de bloqueo con los controladores vulnerables que faltan desde hace años, pero no se sabe cuándo empezará a ser algo que llegue de forma automática con las actualizaciones de Windows.
