Estos problemas están relacionados con el uso inadecuado de certificados del Programa de Desarrolladores de Hardware de Windows, ya que se estaba utilizando de forma maliciosa para introducir malware en los equipos aprovechando la certificación que tenían de la empresa para firmar controladores de productos de hardware.
Según la investigación que han llevado a cabo las empresas antes mencionadas, el número total de controlares que se han aprovechado del programa de desarrolladores certificados de Microsoft supera los 130 y se han utilizado diferentes cuentas. Esta práctica llevaba haciéndose desde abril de 2021.
Una vez se ha detectado el problema, la solución para evitar que los equipos con Windows sean posibles víctimas de estos, Microsoft ha bloqueado todas las cuentas identificadas, la mayoría proceden de China y se han incluido en la lista de revocación de Windows Driver, por lo que no hay una forma sencilla de instalarlos.
Este listado se actualiza automáticamente a través de Windows Update por lo que, si queremos protegernos de este software malicioso, lo único que debemos hacer es instalar todas las actualizaciones que tengamos pendientes de instalar, especialmente la que se lanzó ayer.
Entre los controladores afectados por esta investigación, se han encontrado algunos con capacidades rootkits para ejecutarse en segundo plano y se encargaban de analizar el tráfico del equipo tanto entrante como saliente de Internet y algunos sólo se podían instalar con requisitos de administrador.
Si queremos comprobar si alguno de estos controladores ha acabado en nuestro equipo, podemos consultar esta página de GitHub donde Sophos ha publicado los hashes de todos los controladores afectados.
La última actualización de Windows Defender, la número 1.391.3822.0 también ha sido actualizado para detectar este tipo de controladores e informar al usuario si alguno se encuentra instalado en el equipo para eliminarlo y buscar una solución.
-Sin firma digital, no se puede instalar nada
Es probable que en alguna ocasión nos hayamos encontrado con una aplicación que Windows bloquea debido a que no es capaz de reconocer al desarrollador que se encuentra detrás. Esto se debe a que con la versión 1607 de Windows 10, Microsoft introdujo una nueva función de firma digital que deben obtener todos los desarrolladores para que sus aplicaciones se puedan instalar sin problemas en Windows.
En el caso de los controladores de kernel, los que se cargan al iniciar Windows, no tenemos ningún poder sobre su ejecución, a diferencia de aplicaciones sin certificado. Si tenemos habilitado el arranque seguro de Windows, si los controladores no están firmados, el sistema se niega a cargarlos durante el inicio para evitar que el equipo se vea infectado por el malware que pueda estar incluido en estos.