Los escépticos y los defensores de la seguridad se han preocupado desde hace algún tiempo de que los exploits capaces de aprovechar los controladores en modo kernel antitrampas puedan causar serios estragos en la seguridad de la PC. Ahora parece haber sucedido: el controlador antitrampas utilizado por Genshin Impact, el popular juego de rol gratuito, ha sido abusado por un actor de ransomware para detener los procesos antivirus y permitir el despliegue masivo de su ransomware.
Un nuevo documento técnico publicado el 24 de agosto en Trend Micro (se abre en una pestaña nueva) explica cómo se usó el controlador perfectamente legítimo mhyprot2.sys, en ausencia de cualquier otra parte de Genshin Impact, para obtener acceso de root a un sistema.
«Los equipos de seguridad y los defensores deben tener en cuenta que mhyprot2.sys puede integrarse en cualquier malware», escribieron los autores Ryan Soliven y Hitomi Kimura.
«Genshin Impact no necesita estar instalado en el dispositivo de la víctima para que esto funcione; el uso de este controlador es independiente del juego».
Los controladores en modo kernel son el núcleo del sistema de su computadora. A riesgo de una gran simplificación, el software a nivel de kernel generalmente tiene más control sobre su PC que usted. El anti-trampas de Genshin Impact estuvo bajo escrutinio anteriormente por continuar ejecutándose, a nivel de kernel, incluso después de cerrar el juego. El desarrollador HoYoVerse, entonces conocido como MiHoYo, luego cambió eso. (se abre en una pestaña nueva)
El documento deja claro que se trata de una grave violación de la seguridad de todo el entorno operativo de Windows. Señala que el módulo del controlador «no se puede borrar una vez distribuido» y no es intrínsecamente malicioso, simplemente una pieza de software legítima abusable.
«Este módulo es muy fácil de obtener y estará disponible para todos hasta que se elimine de la existencia», afirma el documento. «Podría permanecer durante mucho tiempo como una utilidad útil para eludir los privilegios. La revocación de certificados y la detección antivirus pueden ayudar a desalentar el abuso, pero no hay soluciones en este momento porque es un módulo legítimo».
Esta no es la primera vez que el sistema anti-cheat a nivel de kernel ha sido un problema de seguridad para la industria de los juegos. Un doble golpe en mayo de 2020 cuando Valorant de Riot Games (se abre en una pestaña nueva) y fatalidad eterna (se abre en una pestaña nueva) lanzado con modo kernel anti-cheat. En ese momento, Riot notó que ya existían muchos otros programas antitrampas a nivel de kernel, aunque no en la medida del software Vanguard de Riot, que comienza cuando se inicia Windows.
Pero la tecnología anti-trampas a nivel de kernel es generalmente efectiva, y para algunos jugadores que están hartos de lidiar con tramposos, eso hace que el riesgo valga la pena. A fines del año pasado, por ejemplo, los jugadores de Call of Duty estaban lo suficientemente descontentos con los tramposos que algunos dieron la bienvenida. (se abre en una pestaña nueva) Activision Blizzard tiene acceso a cada bit de memoria en toda su PC.
No importa la historia y el uso ahora generalizado, este tipo de abuso es exactamente lo que advertían aquellos que temían la propagación del sistema anti-trampas en modo kernel. Si se ha encontrado una vulnerabilidad, lo que sigue podría ser significativamente peor que las vulnerabilidades en el software normal antitrampas a nivel de usuario. Me comuniqué con MiHoYo para comentar sobre el informe y lo actualizaré si recibo una respuesta.