Controladors obsolets de Microsoft van deixar els ordinadors Windows oberts a atacs durant anys
- Administració
- Notícies
- Controladors obsolets de Microsoft van deixar els ordinadors Windows oberts a atacs durant anys
Controladors obsolets de Microsoft van deixar els ordinadors Windows oberts a atacs durant anys
Dijous, Octubre 20, 2022
Segons un informe d'Ars Technica, Microsoft no va protegir adequadament els ordinadors Windows dels controladors maliciosos durant gairebé tres anys. Tot i que Microsoft diu que les seves actualitzacions de Windows afegeixen nous controls per software maliciós en una llista de bloqueig descarregada pels dispositius, Ars Technica va trobar que aquestes actualitzacions mai s'han posat en marxa.
Aquesta bretxa en la protecció ha deixat els usuaris vulnerables a un determinat tipus d'atac anomenat BYOVD, o porta d'accés el vostre ordinador. Els controladors són els fitxers que el sistema operatiu de l'ordinador utilitza per comunicar-se amb dispositius i dispositius externs, com ara una impressora, una targeta gràfica o una càmera web. Com que els controladors poden accedir al nucli del sistema operatiu o nucli d'un dispositiu, Microsoft requereix que tots els controladors estiguin signats digitalment, demostrant que són segurs d'utilitzar. Però si un controlador existent i signat digitalment té un forat de seguretat, els pirates informàtics poden explotar-ho i obtenir accés directe a Windows.
Ja hem vist diversos d'aquests atacs realitzats. A l'agost, els pirates informàtics van instal·lar el ransomware BlackByte en un controlador vulnerable usat per a la utilitat d'overclocking MSI AfterBurner. Un altre incident recent va implicar cibercriminals que explotaven una vulnerabilitat en el controlador anti-trampa per al joc Genshin Impact. El grup de pirateria nord-coreà Lazarus va llançar un atac BYOVD contra un empleat aeroespacial als Països Baixos i un periodista polític a Bèlgica el 2021, però l'empresa de seguretat ESET només ho va treure a la llum a finals del mes passat.
Tal com va informar Ars Technica, Microsoft usa una cosa anomenada integritat del codi protegit per hipervisor (HVCI) que se suposa que protegeix contra controladors maliciosos, que la companyia assegura que està habilitat per defecte en determinats dispositius Windows. Tanmateix, tant Ars Technica com Will Dormann, un analista sènior de vulnerabilitats de l'empresa de ciberseguretat Analygence, van trobar que aquesta funció no ofereix una protecció adequada contra controladors maliciosos.
En un fil publicat a Twitter al setembre, Dormann explica que va poder descarregar amb èxit un controlador maliciós en un dispositiu habilitat per HVCI, tot i que el controlador estava a la llista de bloqueig de Microsoft. Més tard, va descobrir que la llista de bloqueig de Microsoft no s'havia actualitzat des del 2019 i que les capacitats de reducció de superfície d'atac (ASR) de Microsoft tampoc protegien contra controladors maliciosos. Això significa que els dispositius amb HVCI habilitats no han estat protegits contra controladors perillosos durant uns tres anys.
Microsoft no va abordar les troballes de Dormann fins a principis d'aquest mes. "Hem actualitzat els documents en línia i hem afegit una descàrrega amb instruccions per aplicar la versió binària directament", ha dit el director de projecte de Microsoft Jeffery Sutherland en una resposta als tuits de Dormann. "També estem solucionant els problemes amb el nostre procés de servei que ha impedit que els dispositius rebin actualitzacions de la política". Des de llavors, Microsoft ha proporcionat instruccions sobre com actualitzar manualment la llista de bloqueig amb els controladors vulnerables que fa anys que falten, però encara no està clar quan Microsoft començarà a afegir automàticament nous controladors a la llista mitjançant les actualitzacions de Windows.