Agencias/Ciudad de México.- Miles de equipos con sistema operativo Windows estuvieron en riesgo de ser infectados por ‘malware’ durante casi tres años por un presunto fallo de los controladores de Microsoft, que habrían dejado de funcionar correctamente.
Los controladores son archivos que utiliza el sistema operativo de un ordenador para comunicarse con dispositivos y ‘hardware’ externo. Entre ellos, impresoras, tarjetas gráficas, cámaras web y otros periféricos.
Para trabajar, los controladores necesitan acceder al núcleo del sistema operativo o kernel del ordenador y se requiere que cada uno de ellos esté firmado como seguro, lo que indica que la comunicación está protegida.
En el caso de que un controlador que presente este certificado digital y, a su vez, cuente con un ‘bug’ o error de seguridad, los ciberdelincuentes pueden explotarlo, acceder directamente al sistema y controlar el dispositivo de la víctima.
Este es el riesgo al que habrían estado expuestos los usuarios de Windows, desarrollado por Microsoft, que no habría podido proteger adecuadamente los ordenadores con este sistema operativo de controladores maliciosos durante casi tres años.
Según un reporte de Ars Technica, Windows habría puesto en peligro a sus usuarios por no actualizar su lista de bloqueo en Windows Update, que añade y controla los controladores nuevos para asegurarse de que son seguros y no presentan vulnerabilidades .
Para administrarlos, Microsoft utiliza el Hypervisor-Protected Code Integrity (HVIC), que viene predeterminado en varios dispositivos de Microsoft y que protege el sistema contra controladores maliciosos. Sin embargo, este sistema no habría funcionado correctamente en los últimos tres años, por lo que los usuarios habrían estado expuestos a ciberataques.
How a Microsoft blunder opened millions of PCs to potent malware attacks https://t.co/Pg0lJIjS1g by @dangoodin001
— Ars Technica (@arstechnica) October 14, 2022
Concretamente, Ars Technica cita la técnica de inyección de ‘software’ malicioso conocida como BYOVD, que facilita que los ciberdelincuentes obtener el control administrativo del sistema y eludir las protecciones del kernel de Windows.
Este ‘malware’ se caracteriza porque no inscribe un ‘exploit’ desde cero para infectar los dispositivos, sino que permite a los hackers instalar controladores de terceros con vulnerabilidades conocidas y acceder directamente a algunas de las áreas más seguras del sistema.
Para demostrar este fallo en el HVIC, el citado medio ha recurrido al analista sénior de vulnerabilidades de ANALYGENCE, Will Dormann, que descubrió que no tuvo problemas al cargar un controlador malicioso (WinRing0) en un dispositivo con el sistema de seguridad de Microsoft. Todo ello, a pesar de que este controlador sí que estaba incluido en la lista de bloqueo de controladores.
Después, Dormann descubrió que esta ‘blocklist’ no se había actualizado desde el año 2019 y que las funciones de reducción de superficie expuesta a ataques (ASR) tampoco protegían los sistemas contra controladores fraudulentos.
De ese modo, durante casi tres años los ciberdelincuentes habrían podido cargar controladores maliciosos en sistemas Windows ante la total desprotección de sus sistemas.
Desde Ars Technica señalan que un gerente de proyecto de Microsoft, Jeffrey Sutherland, ha respondido a las publicaciones de Dormann en Twitter y ha admitido que se habían registrado problemas en el proceso de actualización de la lista de controladores bloqueados.
“Estamos solucionando los problemas con nuestro proceso de servicio que ha impedido que los dispositivos reciban actualizaciones de nuestra política”, ha añadido este responsable en dicha red social.
Además, ha compartido una herramienta que permite a los usuarios de Windows 10 una herramienta para implementar las actualizaciones correspondientes en la lista de controladores bloqueados.
Por el momento, Microsoft no ha aclarado a qué podría deberse este fallo en su sistema de protección HVCI ni tampoco ha hecho referencia al número de usuarios que se habrían expuesto a estos ataques.
The Microsoft recommended driver block rules page states that the driver block list "is applied to" HVCI-enabled devices.
Yet here is an HVCI-enabled system, and one of the drivers in the block list (WinRing0) is happily loaded.
I don't believe the docs.https://t.co/7gCnfXYIys https://t.co/2IkBtBRhks pic.twitter.com/n4789lH5qy— Will Dormann (@wdormann) September 16, 2022