Los ciberdelincuentes utilizaron controladores firmados por perfiles de desarrollador de hardware de Microsoft para lanzar ataques de ransomware. El 19 de octubre de este año, los investigadores ya notificaron a Microsoft que algunos controladores certificados por su programa fueron utilizados de manera maliciosa por los villanos.
Concretamente, utilizaron controladores de hardware en modo kernel verificados previamente con firmas Authenticode del Programa de desarrollo de hardware de Microsoft.
Los controladores de hardware en modo kernel obtienen el nivel de privilegios más alto en el sistema operativo.
Esto significa que un controlador certificado puede llevar a cabo tareas maliciosas que normalmente no están permitidas a las aplicaciones en modo de usuario.
Por ejemplo, podría actuar como una especie de rootkit para ocultar procesos, deshabilitar el software de seguridad, eliminar archivos protegidos, etc.
Es por eso que, por razones de seguridad, a partir de Windows 10, Microsoft requiere que los controladores de hardware en modo kernel estén firmados a través del Programa de desarrollo de hardware de Windows.
Debido a que el procedimiento es bastante minucioso, muchas soluciones de seguridad confían ciegamente en el código firmado por Microsoft a través de este programa.
Básicamente, el proceso es el siguiente:
- Registrarse en el programa de desarrolladores de hardware.
- Proporcionar o comprar un certificado de validación extendida (EV).
- Descargar e instalar el kit de controladores de Windows (WDK).
- Crear el archivo CAB que se enviará para su aprobación.
- Firmar el archivo CAB con el certificado EV.
- Enviar el CAB firmado con EV a través del panel de hardware.
- Microsoft firmará el controlador.
- Descargar el controlador firmado desde el panel de hardware.
- Validar y probar el controlador firmado.
La firma de código es un medio para garantizar la integridad y la autenticidad de un archivo determinado. Los proveedores de software obtienen los certificados utilizados para la firma de código de autoridades de certificación que cumplen con los estándares establecidos por CA/Browser Forum y CA Security Council.
Por lo tanto, la capacidad de utilizar un controlador en modo kernel para usarlo en actividades maliciosas es oro en paño para los villanos.
El kit de herramientas tiene dos componentes:
- STONESTOP (cargador).
- POORTRY (controlador en modo kernel).
Se supone que la aplicación en modo de usuario STONESTOP finaliza los procesos del software de seguridad, e incluso puede tener la capacidad de sobrescribir y eliminar archivos.
Debido a que la mayoría de las veces los procesos del software de seguridad están protegidos contra la manipulación por parte de las aplicaciones normales, STONESTOP carga el controlador en modo kernel POORTRY firmado por Microsoft.
Y este detiene los procesos protegidos asociados a los servicios de Windows.
Recientemente, Microsoft lanzó una nueva actualización de seguridad para revocar los certificados utilizados por los archivos maliciosos.
Además, también ha suspendido las cuentas que se utilizaron para presentar los controladores firmados.
Pero la compañía aún no ha revelado cómo los controladores maliciosos lograron eludir el proceso de revisión.
Su recomendación para los usuarios es que instalen las últimas actualizaciones de Windows, y se aseguren de que sus productos antivirus estén actualizados con las últimas firmas de malware.
