Microsoft mantiene una lista de controladores antiguos y vulnerables, que los actores de amenazas pueden usar para infiltrar virus, ransomware y otro malware en los puntos finales de su elección.
Sin embargo, la última actualización fue en 2019, hasta ahora. Después de dos años de estar sin hacer nada, la lista finalmente se ha actualizado, aunque no para todos los usuarios de Windows a la vez.
en un anuncio (se abre en una pestaña nueva) publicado en el blog de la compañía, Microsoft dijo que la lista de bloqueo utilizada por la herramienta de integridad de código protegido por hipervisor (HVCI) se actualizará, a partir de ahora, una o dos veces al año.
Más formas de actualizar
“La lista de bloqueo se actualiza con cada nueva versión importante de Windows, generalmente 1 o 2 veces al año, incluida la más reciente con la actualización de Windows 11 2022 lanzada en septiembre de 2022”, dijo Microsoft. “La lista de bloqueo más reciente ahora también está disponible para los usuarios de Windows 10 20H2 y Windows 11 21H2 como una actualización opcional de Windows Update. Microsoft publicará ocasionalmente actualizaciones futuras a través del servicio regular de Windows”.
Los usuarios que siempre desean la última actualización de la lista de bloqueo de controladores pueden usar el Control de aplicaciones de Windows Defender (WDAC) para aplicar la última lista de bloqueo, afirmó además la compañía. En aras de la conveniencia, la compañía proporcionó una descarga de la lista de bloqueo de controladores vulnerables más actualizada, así como instrucciones sobre cómo aplicarla, que se encuentran aquí (se abre en una pestaña nueva).
Microsoft ha recibido muchas críticas últimamente por la falta de actualizaciones de la lista de bloqueo de controladores vulnerables, principalmente porque la cantidad de ataques que utilizan este método se disparó.
El método se llama Traiga su propio controlador vulnerable (BYOVD), y es algo bastante simple: un actor de amenazas engañaría a una víctima, generalmente a través de ingeniería social o phishing, para que descargue un controlador de Windows que se sabe que es defectuoso.
Al ser un controlador firmado, no activa ninguna alarma de servicios antivirus o de protección de puntos finales. Simplemente se instala como cualquier otra cosa no maliciosa. El controlador, al ser defectuoso, les da a los piratas informáticos acceso al dispositivo, que luego pueden usar para cualquier otro ataque que consideren adecuado: ransomware, botnets, exfiltración de datos, etc.
Vía: El Registro (se abre en una pestaña nueva)