Windows 11: Nuevas protecciones contra vulnerabilidades de controladores de dispositivos

Los controladores de dispositivos tienen tantos privilegios en Windows que, si se ven comprometidos, pueden ser utilizados como una forma de atacar el sistema e incluso desactivar el software anti-malware. Recientes ataques de malware como RobbinHood, Uroburos, Derusbi, GrayFish y Sauron han utilizado vulnerabilidades de controladores para ingresar a los sistemas. Ahora, Windows 11 cuenta con más protecciones contra esto.

Índice de Contenido
  1. Ampliando lo que se bloquea
  2. Construcción sobre las listas de bloqueo
  3. Los sistemas más limpios requieren instalaciones limpias

Ampliando lo que se bloquea

Microsoft bloquea automáticamente el pequeño grupo de controladores que se sabe que tienen problemas y que son frecuentemente explotados de esta manera en cualquier PC que tenga el modo S o la función de seguridad basada en virtualización Hypervisor-Protected Code Integrity (HVCI) activada.

Además de los controladores conocidos por ser utilizados por malware, también existen lo que Weston llama controladores vulnerables, que ahora puede optar por bloquear.

"La Malicious Driver Block List es el nivel de riesgo más alto. Hemos visto que esto es utilizado por malware en la práctica; no hay duda en absoluto de si debe ser bloqueado. Luego, está la Vulnerable Driver Block List. Piense en esto como una ampliación: sabemos que estos son vulnerables [a ataques], no necesariamente los hemos visto utilizarse específicamente para hackear a las personas, pero podrían hacerlo, así que lo bloqueamos. Ahora, concebiblemente, puede haber un dispositivo que los necesite, y por eso lo hacemos opcional. No queremos inhibir su experiencia ni hacer que usted decida entre funcionalidad y seguridad, así que solo lo recomendamos".

¿Por qué Microsoft no revoca simplemente los controladores comprometidos para que no puedan ejecutarse en Windows? La revocación lleva tiempo y a veces negociación. "La Malicious Driver Block List es nuestra forma de curar eso de una manera mucho más rápida y menos impactante que la revocación", explicó Weston. "Piense en algunos de los casos de controladores recientes en los que se filtró un certificado de un proveedor gigante. Si lo revocamos, los dispositivos de todos pueden dejar de funcionar. Necesitamos un mecanismo de precisión para hacer bloqueos mientras trabajamos en un enfoque más largo de revocación. La Vulnerable Driver Block List permite al usuario hacer eso con una lista muy precisa que Microsoft ha validado. Nos fijamos en cosas como cuántos dispositivos dejarían de funcionar. ¿Hemos trabajado con un proveedor para encontrar una solución? Creemos que la lista es un buen equilibrio para las personas que buscan seguridad, pero también quieren tener la confianza de que Microsoft ha realizado la telemetría y el análisis".

HVCI y la lista de bloqueo de controladores vulnerables de Microsoft se encuentran entre las opciones de seguridad de hardware ahora activadas de forma predeterminada en muchas PC con Windows 11, y esta es una de las razones para los requisitos de sistema más estrictos de Windows 11. Pero también están disponibles en versiones anteriores de Windows y para Windows Server 2016 y posteriores. Windows Defender Application Control, que le permite crear políticas sobre qué aplicaciones y controladores pueden ejecutarse en un PC, ya no está restringido solo a la versión Enterprise de Windows. (WDAC no necesita HVCI para ejecutarse, pero usar HVCI para proteger WDAC dificulta que un atacante desactive esas protecciones).

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

En la próxima versión de Windows 11, HVCI se habilitará de forma predeterminada en un conjunto más amplio de dispositivos que ejecutan Windows 11 y eso activará la lista de bloqueo. Cuando se lanzó Windows 11 por primera vez, solo se activó HCVI para los últimos procesadores de AMD y de la 12ª generación de Intel; ahora cualquier procesador con la seguridad de hardware adecuada tendrá HVCI activado, incluidos los procesadores de la 8ª generación.

También puede activar o desactivar la lista de bloqueo usted mismo en la sección de aislamiento central de la aplicación Seguridad de Windows, y el mismo control deslizante le permite desactivarla si alguno de sus dispositivos deja de funcionar (aunque deberá reemplazar o actualizar los dispositivos que necesiten estos controladores vulnerables para evitar riesgos a largo plazo).

Las organizaciones que deseen una lista de bloqueo más agresiva que el enfoque medido de Microsoft pueden agregar sus propios controladores a la lista utilizando el Asistente de directivas de WDAC.

Weston considera que la nueva lista es "ampliar la red de lo que bloqueamos, y hacerlo fácil". En el pasado, los administradores de TI podían obtener la lista de controladores de MSDN o TechNet, copiarla en un archivo XML y desplegarla; ahora está integrada y, cada vez más, se aplica de forma predeterminada.

Construcción sobre las listas de bloqueo

La API de Attestation de Salud de Dispositivo en Windows es una forma no solo para las herramientas de seguridad de Microsoft, sino también para opciones de terceros como AirWatch y Mobile Iron, de proteger el agente de seguridad que se ejecuta en el sistema contra la manipulación que los controladores maliciosos permiten a los atacantes. El nuevo servicio de Attestation de Azure amplía eso, para que los desarrolladores que usan Azure puedan establecer políticas para administrar las implementaciones de aplicaciones en función del estado de los componentes en la PC, sin necesidad de utilizar un servicio MDM como Intune.

"Si tienes una aplicación en contenedor y quieres decir 'Hey, antes de que se implemente mi aplicación en contenedor, quiero saber cosas sobre este sistema', puedes hacerlo", explica Weston. Eso podría integrarse con Azure AD o un proveedor de identidad de Open ID Connect, o podría ver las políticas de integridad de código en el dispositivo. "Puedes decir que quieres este lista blanca específica o que quieres esta lista negra específica y si no está ahí, no quiero que se ejecute mi aplicación".

Cómo proteger tu computadora de los virus: métodos y consejos

Eso podría permitirle verificar el estado de una PC antes de permitir, por ejemplo, el uso de software de acceso remoto. O podría permitir a un estudio de juegos establecer políticas anti-trampas, sugirió Weston. "Podrían decir que van a usar el servicio de Attestation de Azure para asegurarse de que la lista negra que bloquea todos los controladores trampa esté en la máquina. Podrías crear una protección anti-trampa muy liviana y de alta seguridad diciendo: voy a configurar una política de HVCI que se aplicará mediante el hipervisor y antes de que mi juego comience, quiero asegurarme de que esa política se cargó en el sistema".

Próximamente, habrá más ejemplos de código y orientación sobre cómo utilizar esto, así como una integración más sencilla con proveedores de identidad de terceros.

Los sistemas más limpios requieren instalaciones limpias

Activar HVCI y WDAC (o implementar nuevos dispositivos que tengan esas funciones habilitadas de forma predeterminada) es por donde Weston sugiere comenzar. Pero dado que cualquier lista de bloqueo es, por definición, incompleta, la solución a largo plazo es invertir el enfoque y permitir solo software conocido y seguro. "Sabemos que la forma de detener el malware no es jugar al juego del 'whack-a-mole'. Es reducir el número de cosas que pueden ejecutarse en su dispositivo a solo lo que necesita", dijo.

Esa es la teoría detrás de la función de control inteligente de aplicaciones que llegará en la próxima versión de Windows 11 como una extensión de WDAC que lleva el valor principal de Windows 10 en el modo S ("decenas de millones de usuarios y sin malware generalizado") a una base de usuarios mucho más amplia. Esto restringe a los usuarios a solo aplicaciones firmadas, ejecutando un servicio de firma de código de Azure que hace que la firma de código sea asequible y revocando inmediatamente cualquier certificado de firma utilizado para malware a través del servicio Defender, con excepciones que permiten a los usuarios instalar aplicaciones no firmadas que ya han sido utilizadas por suficientes personas para tener una reputación de seguridad.

Al igual que HVCI, las listas de bloqueo de controladores y las demás funciones de seguridad que están activadas de forma predeterminada en Windows 11, el control inteligente de aplicaciones solo estará activado de forma predeterminada si compra una nueva PC con Windows 11 o realiza una instalación limpia.

"Necesitamos poder ejecutar el perfilador de controladores y asegurarnos de no bloquear uno de sus controladores de arranque, lo que sería malo; necesitamos ejecutar sysprep", explicó Weston. Espere que Microsoft sea más explícito al respecto en el futuro, para asegurarse de que las personas estén obteniendo las protecciones incorporadas en Windows 11.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Windows 11: Nuevas protecciones contra vulnerabilidades de controladores de dispositivos , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.