Los controladores en Windows son completamente necesarios para que funcione todo el hardware que conectamos al ordenador, como una tarjeta gráfica, el procesador, el adaptador de red e incluso cualquier periférico. Estos pueden tener acceso al núcleo del propio ordenador y controlarlo sin problema, y es por ello que es realmente importante que estén firmados por Microsoft. Pero en una reciente investigación, se ha detallado que se han detectado algunos de estos controladores que son maliciosos y que se la habían colado a Microsoft habrían provocado casos de ransomware.
Como decimos, Microsoft cuenta con un Programa de Desarrolladores de Hardware en Windows que permite firmar los controladores necesarios para poder usar todos los productos que crean. Estos dan la confianza de que están limpios de malware, aunque esto no siempre ocurre como se ha podido comprobar. Ya que algunos de estos controladores han pasado el filtro, y es algo que puede ser realmente peligroso.
-Microsoft reconoce un fallo de seguridad en controladores firmados
El hecho de tener instalado un controlador malicioso es realmente peligroso. Esto se debe que Microsoft al firmarlos le da permisos para acceder al kernel del ordenador, es decir, que consigue tener los máximos privilegios para poder hacer lo que quiera en el ordenador. De esta manera conseguirá acceder a información personal y de tu uso.
Para poder hacer a este programa y pasar la seguridad, se utilizaron diferentes componentes llamados STONESTOP y POORTRY, y además se utilizaron herramientas que estaban firmadas por Microsoft para una tercera persona al que pagaban para acceder los actores de esta amenaza. Igualmente, todavía está bajo investigación al no estar claro del todo el procedimiento que se ha seguido. Lo que si conoce es que este controlador provocaba el secuestro de los datos, lo conocido como ransomware.
Para poder detectar a estos actores de la amenaza, han conseguido extraer los nombres de las organizaciones que han creado estos controladores que ahora pasan a estar en la lista negra. Estos son:
- Qi Lijun
- Luck Bigger Technology Co., Ltd
- XinSing Network Service Co., Ltd
- Hangzhou Shunwang Technology Co.,Ltd
- Fuzhou Superman
- Beijing Hongdao Changxing International Trade Co., Ltd.
- Fujian Altron Interactive Entertainment Technology Co., Ltd.
- Xiamen Hengxin Excellence Network Technology Co., Ltd.
- Dalian Zongmeng Network Technology Co., Ltd.
Desde Microsoft ya han querido responder a esta amenaza que se ha descubierto liberando diferentes actualizaciones de seguridad para poder revocar los certificados a estos controladores maliciosos. Además, se liberó la actualización 1.377.987.0 de Windows Defender para poder detectarlos y eliminarlos también. Si bien, aunque se han descubierto varios editores que han mandado este tipo de controladores todavía pueden quedar algunos que hayan usado el mismo sistema. Es por ello que han liberado la siguiente comunicación:
Microsoft está trabajando con los socios del Programa de Procciones Activas de Microsoft (MAPP) para ayudar a desarrollar más detecciones y proteger mejor a nuestros clientes compartidos. Microsoft Partner Center también está trabajando en soluciones a largo plazo para abordar estas prácticas engañosas y prevenir futuros impactos en los clientes
Y es que debemos tener en cuenta que el hecho de pasar un filtro de seguridad que trata de garantizar que en nuestros ordenadores no se acceda al núcleo como tal, es alarmante. De esta manera hay que tener cuidado siempre en confiar en cualquier utilidad o herramienta, pese a que esté firmada por Microsoft, pues siempre hay puertas traseras a estos filtros.