Para proteger Windows 10 y Windows 11, Microsoft ha puesto en la lista negra los controladores maliciosos o anticuados. El problema es que la lista de estos controladores no se ha actualizado desde 2019, mientras que han aparecido nuevos controladores defectuosos desde entonces.
Si quieres actualizar los controladores de tu PC hoy, no necesitas hacer nada más. Si Windows Update no resuelve el problema, hay una aplicación del fabricante que se encargará de todo. Sin embargo, algunos sitios también distribuyen controladores a través de aplicaciones de terceros o ejecutables clásicos, y aquí es donde se complica la cosa.
También | Windows 11 22H2 causa problemas en los PC con procesadores AMD Ryzen 7000
Para combatir la proliferación de controladores de terceros en Internet, Microsoft ha creado una lista negra. Esto evita que se instalen controladores de terceros en el ordenador, ya sea a petición del usuario o si el ordenador ya está dañado e intenta forzar la instalación de un controlador. Lo que ocurre es que Microsoft no ha notificado a los usuarios la actualización de esta lista desde hace casi tres años.
Los controladores maliciosos están muy extendidos en internet
Un rápido recordatorio de los hechos: para trabajar directamente, un controlador debe tener acceso directo al núcleo de Windows. Sin embargo, algunos controladores legítimos pueden estar afectados por una o más vulnerabilidades.
Y si un desarrollador corrige la vulnerabilidad, los antiguos controladores siguen siendo un lugar ideal para un atacante. El fenómeno de los controladores maliciosos, conocido como BYOVD, existe desde hace una década y actualmente se considera una de las peores amenazas para los hackers.
Como informa el sitio web Ars Technica, el grupo Lazarus se hizo famoso recientemente por hackear las cuentas de una aerolínea holandesa y de un periodista belga. Otro ejemplo: el pasado mes de julio, los piratas informáticos difundieron programas maliciosos aprovechando una vulnerabilidad en el controlador mhyport2.sys, un antiguo controlador anti-trampas utilizado en el juego Genshin Impact. En la actualidad, existen innumerables ejemplos de este tipo de programas maliciosos.
Microsoft no ha actualizado su lista de controladores maliciosos en tres años
Para combatir estas amenazas maliciosas, Microsoft ha establecido dos sistemas para evitar que se instalen o ejecuten. La primera se llama HVCI (HyperVisor-protected Code Integrity) y protege a Windows 10 y Windows 11.
Este tipo de protección bloquea la carga en memoria de controladores firmados pero obsoletos o defectuosos. El segundo método se denomina ASR y está diseñado para evitar que los controladores vulnerables se escriban en el disco duro o SSD.
El problema es que estas protecciones no son 100% efectivas. Por ejemplo, un periodista de Ars Technica, con la ayuda de un investigador de ESET, consiguió instalar un controlador vulnerable de Dell en un ordenador, el mismo que fue explotado por el grupo de hackers Lazarus mencionado anteriormente.
Esto se hizo con la opción «Integridad de la memoria» activada y con la opción «Lista de bloqueo de controladores vulnerables de Microsoft» activada. Si quieres comprobar si todo está bien en tu ordenador, también puedes ejecutar la aplicación de Seguridad de Windows y luego ir a Seguridad del dispositivo -> Aislamiento del núcleo -> Detalles del aislamiento del núcleo.
Pero el periodista no es el único que ha descubierto este tipo de vulnerabilidad en el sistema operativo. Will Dormann, investigador de Analygence (empresa especializada en seguridad informática), lleva varias semanas dando la voz de alarma de que los ataques BYOVD no están suficientemente bloqueados por Windows.
Apuntan en particular al controlador WingR0, que se sabe que es vulnerable y no está bloqueado por Windows.
El propio Dormann explica que la lista negra de controladores para Windows 10 no se ha actualizado desde 2019 y que la lista negra de Windows Server 2019 solo tenía dos conductores.
Microsoft se negó a comentar el asunto, pero un director de proyecto de la empresa acabó admitiendo que había un grave problema con la lista negra de controladores.