Milers d'equips amb el sistema operatiu Windows han estat en risc de ser infectats per malware durant gairebé tres anys per un presumpte error en els controladors de Microsoft, que haurien deixat de funcionar correctament. Els controladors són arxius que utilitza el sistema operatiu d'un ordinador per comunicar-se amb dispositius i maquinari extern. Entre ells, impressores, targetes gràfiques, càmeres web i altres perifèrics. Per treballar, els controladors necessiten accedir al nucli del sistema operatiu de l'ordinador -o kernel- i que cadascun d'ells estigui signat com a segur, quelcom que indica que la comunicació està protegida.

Si un controlador presenta aquest certificat digital i, alhora, té un bug o un error de seguretat, els ciberdelinqüents poden explotar-ho, accedir directament al sistema i controlar el dispositiu de la víctima. Aquest és el risc al qual haurien estat exposats els usuaris de Windows. Microsoft no hauria pogut protegir adequadament els ordinadors amb aquest sistema operatiu de controladors maliciosos durant gairebé tres anys.

Segons una informació difosa per Ars Technica, Windows hauria posat en perill els seus usuaris per no actualitzar la seva llista de bloqueig a Windows Update, que afegeix i controla els controladors nous per assegurar-se que són segurs i no tenen vulnerabilitats. Per administrar-los, Microsoft fa servir el Hypervisor-Protected Code Integrity (HVIC), que ve predeterminat en diversos dispositius de Microsoft i que protegeix el sistema contra controladors maliciosos. No obstant això, aquest sistema no hauria funcionat correctament en els últims tres anys, per la qual cosa els usuaris haurien estat exposats a ciberatacs. 

Concretament, Ars Technica ha citat la tècnica d'injecció de programari maliciós coneguda com a BYOVD, que facilita que els ciberdelinqüents obtinguin el control administratiu del sistema i eludeixin les proteccions del kernel de Windows. Aquest malware es caracteritza perquè no inscriu un exploit des de zero per infectar els dispositius, sinó que permet els hackers instal·lar controladors de tercers amb vulnerabilitats conegudes i accedir directament a algunes de les àrees més segures del sistema.

Per demostrar aquest error en el HVIC, el citat mitjà ha recorregut a l'analista sènior de vulnerabilitats d'ANALYGENCE, Will Dormann, que va descobrir que no va tenir problemes en carregar un controlador maliciós (WinRing0) en un dispositiu amb el sistema de seguretat de Microsoft, tot i que aquest controlador sí que estava inclòs en la llista de bloqueig de controladors. Dormann va descobrir que aquesta blocklist no s'havia actualitzat des del 2019 i que les funcions de reducció de superfície exposada a atacs (ASR) tampoc protegien els sistemes contra controladors fraudulents. D'aquesta manera, durant gairebé tres anys els ciberdelinqüents haurien pogut carregar controladors maliciosos en sistemes Windows davant la total desprotecció dels seus sistemes.

Des d'Ars Technica han assenyalat que un cap de projecte de Microsoft, Jeffrey Sutherland, ha respost a les publicacions de Dormann -també difoses a Twitter- i ha admès que havien tingut problemes en el procés d'actualització de la llista de controladors bloquejats. "Estem solucionant les dificultats impedint que els dispositius rebin actualitzacions de la nostra política", ha afegit el responsable també a través de la xarxa social. A banda d'això, també ha compartit una eina que permet els usuaris de Windows 10 implementar les actualitzacions corresponents en la llista de controladors bloquejats.

De moment, Microsoft no ha aclarit què podria haver passat perquè es produís un error així en el seu sistema de protecció HVCI ni tampoc ha fet referència al nombre d'usuaris que s'haurien exposat a aquests atacs.

[plantillavirals]