imágenes falsas
Durante casi dos años, los funcionarios de Microsoft fallaron en una defensa clave de Windows, un error inexplicable que dejó a los clientes expuestos a una técnica de infección de malware que ha sido especialmente efectiva en los últimos meses.
Los funcionarios de Microsoft han afirmado firmemente que Windows Update agregará automáticamente nuevos controladores de software a una lista de bloqueo diseñada para frustrar un conocido truco en el manual de infecciones de malware. La técnica de malware, conocida como BYOVD, abreviatura de “traiga su propio controlador vulnerable”, facilita que un atacante con control administrativo eluda las protecciones del kernel de Windows. En lugar de escribir un exploit desde cero, el atacante simplemente instala cualquiera de las docenas de controladores de terceros con vulnerabilidades conocidas. Luego, el atacante explota esas vulnerabilidades para obtener acceso instantáneo a algunas de las regiones más protegidas de Windows.
Sin embargo, resulta que Windows no estaba descargando ni aplicando correctamente las actualizaciones a la lista de bloqueo de controladores, lo que dejaba a los usuarios vulnerables a nuevos ataques BYOVD.
A medida que aumentan los ataques, las contramedidas de Microsoft languidecen
Los controladores generalmente permiten que las computadoras funcionen con impresoras, cámaras u otros dispositivos periféricos, o hacer otras cosas, como proporcionar análisis sobre el funcionamiento del hardware de la computadora. Para que muchos controladores funcionen, necesitan una canalización directa al kernel, el núcleo de un sistema operativo donde reside el código más sensible. Por esta razón, Microsoft fortalece en gran medida el kernel y requiere que todos los controladores estén firmados digitalmente con un certificado que verifique que hayan sido inspeccionados y provengan de una fuente confiable.
Incluso entonces, sin embargo, los controladores legítimos a veces contienen vulnerabilidades de corrupción de memoria u otras fallas graves que, cuando se explotan, permiten a los piratas canalizar su código malicioso directamente al kernel. Incluso después de que un desarrollador corrige la vulnerabilidad, los controladores antiguos con errores siguen siendo excelentes candidatos para los ataques BYOVD porque ya están firmados. Al agregar este tipo de controlador al flujo de ejecución de un ataque de malware, los piratas informáticos pueden ahorrar semanas de tiempo de desarrollo y prueba.
BYOVD ha sido un hecho de la vida durante al menos una década. El malware denominado “Slingshot” empleó BYOVD desde al menos 2012, y otros participantes tempranos en la escena de BYOVD incluyeron LoJax, InvisiMoley RobbinHood.
En los últimos años, hemos visto una ola de nuevos ataques BYOVD. Uno de esos ataques a fines del año pasado fue llevado a cabo por el grupo Lazarus, respaldado por el gobierno de Corea del Norte. Utilizó un controlador Dell dado de baja con una vulnerabilidad de alta gravedad para apuntar a un empleado de una empresa aeroespacial en los Países Bajos y un periodista político en Bélgica.
En un ataque BYOVD separado hace unos meses, los ciberdelincuentes instaló el ransomware BlackByte instalando y luego explotando un controlador defectuoso para MSI AfterBurner 4.6.2.15658 de Micro-Star, una utilidad de overclocking de tarjetas gráficas ampliamente utilizada.
En julio, un grupo de amenazas de ransomware instaló el controlador mhyprot2.sys—un controlador anti-trampas en desuso utilizado por el popular juego Impacto de Genshin—durante los ataques dirigidos que pasaron a explotar un vulnerabilidad de ejecución de código en el controlador para profundizar más en Windows.
A mes anteslos delincuentes que difundieron el ransomware AvosLocker también abusaron del vulnerable controlador anti-rootkit de Avast aswarpot.sys para eludir el análisis de virus.
Se han dedicado publicaciones de blog enteras a enumerar los crecientes casos de ataques BYOVD, con esta publicación de la firma de seguridad Eclypsium y este de ESET entre los más notables.
Microsoft es muy consciente de la amenaza BYOVD y ha estado trabajando en defensas para detener estos ataques, principalmente mediante la creación de mecanismos para evitar que Windows cargue controladores firmados pero vulnerables. El mecanismo más común para el bloqueo de controladores utiliza una combinación de lo que se denomina integridad de la memoria y HVCI, abreviatura de Integridad del código protegido por hipervisor. Un mecanismo separado para evitar que se escriban controladores defectuosos en el disco se conoce como ASR, o Reducción de la superficie de ataque.
Desafortunadamente, ninguno de los enfoques parece haber funcionado tan bien como se pretendía.