TecTop
Los controladores de dispositivos tienen tantos privilegios en Windows que, si se ven comprometidos, pueden usarse como una forma de atacar el sistema e incluso desactivar el software antimalware. Los recientes ataques de malware como RobbinHood, Uroburos, Derusbi, GrayFish y Sauron han utilizado las vulnerabilidades de los controladores para ingresar a los sistemas. Ahora Windows 11 tiene más protecciones contra eso.
VER: Política de instalación de software (República Tecnológica)
Si bien hay algunos controladores maliciosos que están diseñados deliberadamente para comprometer las PC, la mayoría de los problemas provienen de una pequeña cantidad de controladores legítimos con fallas accidentales, dijo David Weston, vicepresidente de Enterprise y OS Security en Microsoft.
“Lo que vemos con mucha más frecuencia que los controladores maliciosos son solo controladores vulnerables. Digamos que este controlador de impresora existe desde 2006, tiene un desbordamiento de búfer: los atacantes que tienen acceso de nivel de administrador lo traen consigo en los ataques y lo cargan como una forma de obtener una interfaz o API en el kernel. Toman un controlador que es de confianza, que superará cualquier lista de confianza, lo cargan y luego lo usan para eliminar el antivirus de la máquina”.
Ampliando lo que está bloqueado
microsoft bloquea automáticamente el pequeño subconjunto de controladores que se sabe que tienen problemas y que se explotan con frecuencia de esta manera en cualquier PC que tenga activada la función de seguridad basada en virtualización del Modo S o la Integridad del código protegido por hipervisor (HVCI).
Además de los controladores que se sabe que han sido utilizados por malware, también hay lo que Weston llama controladores vulnerables, que ahora puede elegir bloquear.
“La lista de bloqueo de controladores maliciosos es el nivel más alto de riesgo. Hemos visto que esto es utilizado por malware en la naturaleza; no hay ninguna duda sobre si esto necesita ser bloqueado. Luego está la lista de bloqueo de controladores vulnerables. Piense en esto como subir el embudo: sabemos que estos son vulnerables [to attack], no necesariamente los hemos visto usados específicamente para hackear personas, pero podrían, así que vamos a bloquearlo. Ahora, es posible que tenga un dispositivo que los necesite, y es por eso que lo hacemos opcional. No queremos inhibir su experiencia o hacer que tome una decisión sobre la funcionalidad versus la seguridad, por lo que simplemente lo recomendamos”.
¿Por qué Microsoft simplemente no revoca los controladores comprometidos para que no puedan ejecutarse en Windows? La revocación lleva tiempo y, a veces, negociación. “La lista de bloqueo de controladores maliciosos es nuestra forma de curar eso de una manera mucho más rápida y menos impactante que la revocación”, explicó Weston. “Piense en algunos de los casos recientes de conductores en los que se filtró un certificado de un proveedor gigante. Si revocamos eso, los dispositivos de todos pueden dejar de funcionar. Necesitamos más de un mecanismo de precisión para hacer el bloqueo mientras trabajamos hacia el enfoque más largo de la revocación. La lista de bloqueo de controladores vulnerables permite al usuario hacer eso con una lista muy precisa que Microsoft ha validado. Miramos cosas como ¿cuántos dispositivos dejarían de funcionar? ¿Hemos trabajado con un proveedor para tener una solución? Creemos que la lista es un buen equilibrio para las personas que desean seguridad, pero también quieren la confianza de que Microsoft ha realizado la telemetría y el análisis”.
HVCI y la lista de bloqueo de controladores vulnerables de Microsoft se encuentran entre las opciones de seguridad de hardware que ahora están activadas de forma predeterminada en muchas PC con Windows 11, y esta es una de las razones de los requisitos de sistema más estrictos para Windows 11. Pero también están disponibles en versiones anteriores. de Windows y para Windows Server 2016 y posteriores. Control de aplicaciones de Windows Defenderque le permite crear políticas para qué aplicaciones y controladores pueden ejecutarse en una PC, es ya no está restringido a solo la versión Enterprise de Windows. (WDAC no necesita HVCI para ejecutarse, pero usar HVCI para proteger WDAC dificulta que un atacante desactive esas protecciones).
En la próxima versión de Windows 11, HVCI estará habilitado de forma predeterminada en un conjunto más amplio de dispositivos que ejecutan Windows 11 y eso activa la lista de bloqueo. Cuando salió Windows 11 por primera vez, solo activaba HCVI para los últimos procesadores AMD e Intel de 12.ª generación; ahora cualquier procesador con la seguridad de hardware correcta incorporada tendrá HVCI activado, incluidos los procesadores de octava generación.
También puede activar la lista de bloqueo en la sección de aislamiento del núcleo de la aplicación de seguridad de Windows, y el mismo control deslizante le permite desactivarla si uno de sus dispositivos deja de funcionar (aunque querrá trabajar para reemplazar cualquiera o actualizar los dispositivos que necesitan estos factores vulnerables para evitar el riesgo a largo plazo).
Las organizaciones que desean una lista de bloqueo más agresiva que el enfoque medido de Microsoft pueden agregar sus propios controladores a la lista mediante el Asistente para políticas de WDAC.
Weston ve la nueva lista como «ampliar la red de lo que bloqueamos y simplificarlo». En el pasado, los administradores de TI podían obtener la lista de controladores de MSDN o TechNet, copiarla en un archivo XML e implementarla; ahora está integrado y cada vez más, se aplica de forma predeterminada.
Construyendo sobre listas de bloques
La API Device Health Attestation en Windows es una forma no solo de las herramientas de seguridad de Microsoft, sino también de opciones de terceros como AirWatch y Mobile Iron para proteger el agente de seguridad que se ejecuta en el sistema del tipo de manipulación que los controladores maliciosos permiten que hagan los atacantes. El nuevo servicio Azure Attestation lo amplía para que los desarrolladores que usan Azure puedan establecer políticas para administrar las implementaciones de aplicaciones según el estado de los componentes en la PC, sin necesidad de usar un servicio MDM como Intune.
“Si tiene una aplicación en contenedor y quiere decir: ‘Oye, antes de que se implemente mi aplicación en contenedor, quiero saber cosas sobre este sistema’, puede hacerlo”, explica Weston. Eso podría ser la integración con Azure AD o un proveedor de identidad de Open ID Connect, o podría estar analizando cuáles son las políticas de integridad del código en el dispositivo. «Puede decir Quiero esta lista de permitidos específica o quiero esta lista de bloqueo específica y, si no está allí, no quiero que mi aplicación se ejecute».
Eso podría permitirle verificar el estado de una PC antes de permitir, por ejemplo, que se use el software de acceso remoto. O podría permitir que un estudio de juegos establezca políticas contra las trampas, sugirió. “Podrían decir que voy a usar el servicio Azure Attestation para asegurarme de que la lista de bloqueo que bloquea todos los controladores de trucos esté en la máquina. Podría crear un antitrampas muy liviano y de alta seguridad diciendo: voy a configurar una política HVCI que el hipervisor aplicará y antes de que comience mi juego, quiero asegurarme de que la política esté cargada en el sistema. .”
Busque más código de muestra y orientación sobre cómo usarlo pronto, así como una integración más simple con proveedores de identidad de terceros.
Los sistemas más limpios necesitan instalaciones limpias
Weston sugiere comenzar activando HVCI y WDAC (o implementando nuevos dispositivos que tengan esas funciones activadas de manera predeterminada). Pero dado que cualquier lista de bloqueo es, por definición, incompleta, la solución a largo plazo es invertir el enfoque y permitir solo el software seguro conocido. “Sabemos que la manera de detener el malware es no [play] aplasta un topo. Es reducir la cantidad de cosas que pueden ejecutarse en su dispositivo a solo lo que necesita”.
Esa es la teoría detrás de la función de control inteligente de aplicaciones que se incluye en la próxima versión de Windows 11 como una extensión de WDAC que brinda el valor central del Modo S de Windows 10 («decenas de millones de usuarios y sin malware generalizado») a un usuario mucho más amplio. base. Esto restringe a los usuarios a solo aplicaciones firmadas, ejecuta un servicio de firma de código de Azure que hace que el código de firma sea asequible y revoca de inmediato cualquier certificado de firma utilizado para malware a través del servicio Defender, con excepciones que permiten a los usuarios instalar aplicaciones sin firmar que ya han sido utilizadas por muchos otros. personas para obtener una reputación como segura.
Al igual que HVCI, las listas de bloqueo de controladores y otras características de seguridad que están activadas de forma predeterminada en Windows 11, el control de aplicaciones inteligentes solo estará activado de forma predeterminada si compra una PC nueva con Windows 11 o realiza una instalación limpia.
“Necesitamos poder ejecutar el perfilador de controladores y asegurarnos de no bloquear uno de sus controladores de arranque, lo que sería malo; necesitamos ejecutar sysprep”, explicó Weston. Espere que Microsoft comience a ser más explícito al respecto en el futuro, para asegurarse de que las personas obtengan las protecciones integradas en Windows 11.
