Microsoft no pudo proteger adecuadamente las PC con Windows de los controladores maliciosos durante casi tres años, según un informe de Ars Technica. Aunque Microsoft dice que sus actualizaciones de Windows agregan nuevos controladores maliciosos a una lista de bloqueo descargada por dispositivos, Ars Technica Encontré que estas actualizaciones nunca se atascaron.
Esta brecha en la cobertura dejó a los usuarios vulnerables a cierto tipo de ataque llamado BYOVD, o traiga su propio controlador vulnerable. Los controladores son los archivos que utiliza el sistema operativo de su computadora para comunicarse con dispositivos y hardware externos, como una impresora, una tarjeta gráfica o una cámara web. Dado que los controladores pueden acceder al núcleo del sistema operativo o kernel de un dispositivo, Microsoft requiere que todos los controladores estén firmados digitalmente, lo que demuestra que su uso es seguro. Pero si un controlador existente firmado digitalmente tiene un agujero de seguridad, los piratas informáticos pueden explotarlo y obtener acceso directo a Windows.
Como lo señaló Ars TechnicaMicrosoft usa algo llamado integridad de código protegido por hipervisor (HVCI) que se supone que protege contra controladores maliciosos, que el la empresa dice que viene habilitado por defecto en ciertos dispositivos Windows. Sin embargo, ambos Ars Technica y Will Dormann, analista sénior de vulnerabilidades de la empresa de seguridad cibernética Analygence, descubrió que esta característica no proporciona una protección adecuada contra los controladores maliciosos.
en un hilo publicado en Twitter en septiembre, Dormann explica que pudo descargar con éxito un controlador malicioso en un dispositivo habilitado para HVCI, a pesar de que el controlador estaba en la lista negra de Microsoft. Más tarde descubrió que la lista de bloqueo de Microsoft no se ha actualizado desde 2019 y que las capacidades de reducción de la superficie de ataque (ASR) de Microsoft tampoco protegían contra controladores maliciosos. Esto significa que los dispositivos con HVCI habilitado no han estado protegidos contra malos controladores durante unos tres años.
Microsoft no abordó los hallazgos de Dormann hasta principios de este mes. “Actualizamos los documentos en línea y agregamos una descarga con instrucciones para aplicar la versión binaria directamente”, dijo Jeffery Sutherland, gerente de proyectos de Microsoft. dijo en una respuesta a los tweets de Dormann. «También estamos solucionando los problemas con nuestro proceso de servicio que ha impedido que los dispositivos reciban actualizaciones de la política». Desde entonces, Microsoft ha proporcionado instrucciones sobre cómo actualizar manualmente la lista de bloqueo con los controladores vulnerables que faltan desde hace años, pero aún no está claro cuándo Microsoft comenzará a agregar automáticamente nuevos controladores a la lista a través de las actualizaciones de Windows.
“La lista de controladores vulnerables se actualiza regularmente, sin embargo, recibimos comentarios de que ha habido una brecha en la sincronización entre las versiones del sistema operativo”, dijo un portavoz de Microsoft en un comunicado a Ars Technica. “Hemos corregido esto y se reparará en las próximas y futuras actualizaciones de Windows. La página de documentación se actualizará a medida que se publiquen nuevas actualizaciones”. Microsoft no respondió de inmediato a el bordesolicitud de comentarios.