Microsoft bloquea más de 100 controladores de Windows firmados maliciosamente

El aviso de seguridad publicado ayer por Microsoft y etiquetado como ADV230001 cubre un problema con muchos controladores certificados por el Programa de Desarrolladores de Hardware de Windows que "estaban siendo utilizados maliciosamente en actividades posteriores a la explotación". Este problema fue descubierto por investigadores de Sophos, que lo notificaron a Microsoft a principios de febrero de 2023. Además de ellos, Microsoft revela que Trend Micro y Cisco facilitaron sus propios informes sobre este tipo de problemas, con lo que el número total de controladores inseguros (incluidos los no certificados) asciende a 133.

Según Microsoft, la investigación posterior reveló que "varias cuentas de desarrolladores del Microsoft Partner Center (MPC) se dedicaban a enviar controladores maliciosos para obtener una firma de Microsoft" Como era de esperar, todas estas cuentas fueron suspendidas de inmediato. También se tomaron otras medidas, como la implementación de detecciones de bloqueo (a partir de Microsoft Defender 1.391.3822.0) que protegen de los controladores firmados legítimamente utilizados en actividades posteriores a la explotación.

Según ha revelado Sophos, últimamente se han utilizado dos tipos de controladores maliciosos en diversos ataques. El primero era similar a los controladores firmados maliciosamente descubiertos el año pasado y pertenecientes a la categoría "Endpoint protection killer", mientras que el otro tipo se asemeja a un rootkit, al estar concebido para ejecutarse silenciosamente como una tarea más en segundo plano.

Como de costumbre, lo único que deben hacer los usuarios domésticos es mantener actualizado su sistema operativo y nada más. Estos problemas no han afectado a otros dispositivos o servicios salvo los PC con Windows, por lo que los usuarios de Azure, Xbox o Microsoft 365 no tienen de qué preocuparse.

Comprar Microsoft Surface Laptop Go 2 (8QF-00012) en Amazon