Programas de malware buscan un controlador vulnerable que ya está presente en una PC
La seguridad digital es un juego constante del gato y el ratón, en el que se descubren nuevas vulnerabilidades tan rápido (si no más rápido) como se solucionan los problemas más antiguos. Últimamente, los ataques de "Bring Your Own Vulnerable Driver" se están convirtiendo en un problema complejo para las PC con Windows.
La mayoría de los controladores de Windows están diseñados para interactuar con hardware específico; por ejemplo, si compras un auricular de Logitech y lo conectas, Windows puede instalar automáticamente un controlador fabricado por Logitech. Sin embargo, hay muchos controladores en el nivel del kernel de Windows que no están diseñados para comunicarse con dispositivos externos. Algunos se utilizan para depurar llamadas de bajo nivel al sistema y, en los últimos años, muchos juegos de PC han comenzado a instalarlos como software antitrampas.
Windows no permite que los controladores en modo kernel sin firmar se ejecuten de forma predeterminada, comenzando con Windows Vista de 64 bits, que ha reducido significativamente la cantidad de malware que puede acceder a toda tu PC. Eso ha llevado a la creciente popularidad de las vulnerabilidades "Bring Your Own Vulnerable Driver", o BYOVD para abreviar, que aprovechan los controladores firmados existentes en lugar de cargar nuevos controladores sin firmar.
¿Entonces, cómo funciona esto? Bueno, se trata de programas de malware que encuentran un controlador vulnerable que ya está presente en una PC con Windows. La vulnerabilidad busca un controlador firmado que no valida las llamadas a los registros específicos del modelo (MSR) y luego lo aprovecha para interactuar con el kernel de Windows a través del controlador comprometido (o usarlo para cargar un controlador sin firmar). Para usar una analogía de la vida real, es como un virus o parásito que usa un organismo anfitrión para propagarse, pero el anfitrión en este caso es otro conductor.
Imagen: Cómo funcionan las llamadas al sistema con controladores en Windows
Esta vulnerabilidad ya ha sido utilizada por malware en la naturaleza. Los investigadores de ESET descubrieron que un programa malicioso, apodado 'InvisiMole', utilizó una vulnerabilidad BYOVD en el controlador de la utilidad 'SpeedFan' de Almico para cargar un controlador malicioso sin firmar. El editor de videojuegos Capcom también lanzó algunos juegos con un controlador antitrampas que podría ser fácilmente secuestrado.
Las mitigaciones de software de Microsoft para las infames fallas de seguridad de Meltdown y Spectre de 2018 también evitan algunos ataques BYOVD, y otras mejoras recientes en los procesadores x86 de Intel y AMD cierran algunas brechas. Sin embargo, no todos tienen las computadoras más nuevas o las últimas versiones de Windows con parches completos, por lo que el malware que usa BYOVD sigue siendo un problema continuo. Los ataques también son increíblemente complicados, por lo que es difícil mitigarlos por completo con el actual modelo de controlador en Windows.
La mejor manera de protegerse de cualquier malware, incluidas las vulnerabilidades BYOVD que se descubran en el futuro, es mantener habilitado Windows Defender en tu PC y permitir que Windows instale actualizaciones de seguridad cada vez que se publiquen. El software antivirus de terceros también puede proporcionar protección adicional, pero el Defender integrado suele ser suficiente.
