Según Ars Technica, Microsoft ha sido supuestamente negligente en su deber de proteger los PC con Windows contra los controladores maliciosos durante más de tres años. Según Microsoft, sus actualizaciones de Windows añaden nuevos controladores dañinos a una lista de bloqueo de dispositivos; sin embargo, Ars Technica descubrió que estas adiciones nunca se hicieron permanentes.
Debido a este vacío de cobertura, los ataques conocidos como BYOVD, que significa “bring your own vulnerable driver”, eran factibles. El sistema operativo debe tener instalados los controladores para poder comunicarse con cualquier hardware externo, como una impresora, una tarjeta gráfica o una cámara web, como los controladores pueden acceder al núcleo de un dispositivo, Microsoft exige que todos los controladores tengan una firma digital para garantizar su seguridad. En caso de que un controlador firmado digitalmente contenga una vulnerabilidad, los hackers tendrán acceso directo a Windows.
Se han producido múltiples ataques de animales salvajes. En agosto, un software malicioso conocido como BlackByte fue introducido por hackers en un programa de overclocking llamado controlador MSI AfterBurner, recientemente, los ciberdelincuentes se aprovecharon de una vulnerabilidad en el controlador antitrampas Genshin Impact. A finales de este mes, ESET descubrió el asalto BYOVD 2021 de Lazarus, que se llevó a cabo contra un empleado aeroespacial holandés y un periodista político belga.
Según Ars Technica, el ajuste de seguridad de integridad del código protegido por el hipervisor (HVCI) está preconfigurado en varios dispositivos Windows con el fin de protegerse de los controladores maliciosos. Will Dormann, analista principal de vulnerabilidades de Analygence, confirmó los hallazgos de Ars Technica y concluyó que esta capacidad no protege contra los controladores maliciosos.
A pesar de que Microsoft mantiene una lista de bloqueo, Dormann reveló en un hilo de Twitter que fue capaz de descargar un controlador malicioso en un dispositivo habilitado para HVCI. Dijo que lo hizo a pesar de que Microsoft mantiene la lista. Más tarde descubrió que la lista de bloqueo de Microsoft no se había actualizado desde 2019 y que su reducción de la superficie de ataque (ASR) no protegía contra los controladores falsos, ambas revelaciones llegaron después de que descubriera que la lista de bloqueo de Microsoft no se había actualizado desde 2019. Durante los últimos tres años, los dispositivos habilitados para HVCI han carecido de una protección adecuada contra los controladores maliciosos.
Según una declaración hecha por un representante de Microsoft a Ars Technica, “La lista de controladores vulnerables se actualiza continuamente; sin embargo, hemos recibido informes de que ha habido una brecha en la sincronización entre las versiones del sistema operativo”. Hemos podido solucionar esto, y también se solucionará en las próximas actualizaciones de Windows. La solicitud de comentarios que The Verge envió a Microsoft no obtuvo una respuesta inmediata.