La amenaza de los controladores obsoletos en Windows
La ciberseguridad enfrenta desafíos constantes, y uno de los más preocupantes en la actualidad es el uso de controladores obsoletos para eludir sistemas de protección como antivirus y EDR (Endpoint Detection and Response). Este artículo analizará la situación actual, centrándose en un controlador específico: EnPortv.sys.
¿Qué es EnPortv.sys?
EnPortv.sys es un antiguo controlador asociado con el software de análisis forense EnCase. Aunque este controlador fue firmado con un certificado en 2006, el cual expiró en 2010 y fue revocado oficialmente, Windows todavía permite su carga. Esta brecha en la política de seguridad de Windows ha sido explotada por cibercriminales para neutralizar medidas de defensa digital.
Mecanismo de carga de controladores en Windows
La clave del problema radica en la política de Driver Signature Enforcement (DSE) de Windows. Cuando se intenta cargar un controlador, Windows verifica si el mismo está firmado de manera válida y proviene de una autoridad de certificación reconocida. Sin embargo, no se lleva a cabo un control para verificar si el certificado ha sido revocado posteriormente. Esto significa que, si un controlador fue firmado cuando el certificado era válido, Windows lo considera legítimo, incluso si ese certificado ha sido revocado.
Excepciones de compatibilidad
El controlador EnPortv.sys también se beneficia de una excepción de compatibilidad introducida con Windows 10 versión 1607. Microsoft ha establecido un proceso más estricto para la firma de nuevos controladores, pero permite que algunos controladores más antiguos, firmados antes del 29 de julio de 2015 y asociados con una autoridad aceptada, sigan siendo cargados en el sistema.
Impacto en la ciberseguridad
Una vez que el controlador malicioso se carga, el atacante puede finalizar procesos desde el núcleo del sistema. Este método permite que los cibercriminales eliminen servicios que Windows normalmente protegería, incluyendo agentes EDR y componentes antivirus. La eliminación de estos procesos se repite en un bucle cada pocos segundos, impidiendo su reinicio automático.
Ejemplo de ataque
Un ejemplo de este tipo de ataque fue descrito por Huntress, donde se identificó que la rutina maliciosa apuntaba a 59 procesos asociados con las principales soluciones de seguridad del mercado, incluyendo Microsoft Defender, Bitdefender, CrowdStrike, y otros. Aunque el ataque parecía indicar un despliegue de ransomware, fue detenido antes de alcanzar su fase final.
Conclusión
El uso de controladores obsoletos como EnPortv.sys representa un riesgo significativo para la seguridad de los sistemas operativos Windows. La vulnerabilidad en la política de firma de controladores puede ser explotada por cibercriminales para neutralizar soluciones de seguridad y llevar a cabo ataques maliciosos. Es crucial que los usuarios y las organizaciones estén al tanto de estas amenazas y tomen medidas proactivas para proteger sus sistemas, tales como mantener actualizados sus antivirus y EDR, así como evaluar periódicamente los controladores instalados en su infraestructura.
About the Author
