Detectan controladores de Windows firmados por Microsoft para realizar ataques ransomware

Microsoft ha puesto en marcha una nueva actualización.

Detectan controladores de Windows firmados por Microsoft con ransomware
Controladores para Windows firmados por Microsoft

En las última horas, la compañía Microsoft ha revocado varias cuentas de desarrolladores de hardware luego de detectar que los controladores firmados se estaban utilizando para realizar ataques a través de ransomware.

La información ha sido confirmada por la propia Microsoft junto con Mandiant,  Sophos y  SentinelOne. Según el informe, los desarrolladores estaban utilizando los controladores de Windows firmados por Microsoft para la realización de ataques cibernéticos.

Detectan controladores de Windows firmados por Microsoft con ransomware
Detectan controladores de Windows firmados por Microsoft con ransomware

Detectan controladores de Windows firmados por Microsoft con código malicioso

Los controladores afectados son los que se utilizan en hardware en modo kernel, los cuales se cargan en Windows para obtener un mejor nivel de privilegio, por lo que los hacen mucho más peligrosos.

Como era de esperar, los privilegios conseguidos permiten al controlador realizar varias tareas maliciosas que normalmente no se pueden realizar a través de las aplicaciones en modo usuario.

Entre las acciones tenemos detener los software de seguridad detectados en los dispositivos, eliminación de los archivos protegidos y actuar como rootkits para poder ocultar otros procesos en segundo plano.

Cabe mencionar que desde que se lanzo Windows 10, los Redmond han requerido que los controladores de hardware en modo kernel se firmen a través del Programa de desarrollo de hardware de Windows de Microsoft.

Esto significa que los desarrolladores necesitan comprar un certificado de validación y luego pasar por la comprobación de Microsoft, esto hace que muchas plataformas de seguridad confíen en los controladores verificados por la compañía.

Es por este motivo que los controladores firmados en modo kernel por parte de Microsoft y que son utilizados para realizar procedimiento mal intencionados son bastante apreciados.

Microsoft responde

Debido a este hecho, la compañía ha publicado recientemente una actualización de seguridad que se encargará de revocar los certificados utilizados por los archivos maliciosos y ya ha eliminado las cuentas de los desarrolladores que se han utilizado para el envió de estos controladores firmados.

Por otra parte, también se han lanzado nuevas firmas de Microsoft Defender que se encargará de detectar los controladores firmados legítimos en ataques posteriores a la explotación.

No obstante, Microsoft aún tiene que compartir cómo los controladores maliciosos pasaron el proceso de revisión, pero hasta el momento, la compañía no ha mencionado nada al respecto.