La ciberseguridad enfrenta desaf\u00edos constantes, y uno de los m\u00e1s preocupantes en la actualidad es el uso de controladores obsoletos para eludir sistemas de protecci\u00f3n como antivirus y EDR (Endpoint Detection and Response). Este art\u00edculo analizar\u00e1 la situaci\u00f3n actual, centr\u00e1ndose en un controlador espec\u00edfico: EnPortv.sys<\/strong>.<\/p>\n EnPortv.sys<\/strong> es un antiguo controlador asociado con el software de an\u00e1lisis forense EnCase. Aunque este controlador fue firmado con un certificado en 2006, el cual expir\u00f3 en 2010 y fue revocado oficialmente, Windows todav\u00eda permite su carga. Esta brecha en la pol\u00edtica de seguridad de Windows ha sido explotada por cibercriminales para neutralizar medidas de defensa digital.<\/p>\n La clave del problema radica en la pol\u00edtica de Driver Signature Enforcement (DSE)<\/strong> de Windows. Cuando se intenta cargar un controlador, Windows verifica si el mismo est\u00e1 firmado de manera v\u00e1lida y proviene de una autoridad de certificaci\u00f3n reconocida. Sin embargo, no se lleva a cabo un control para verificar si el certificado ha sido revocado posteriormente. Esto significa que, si un controlador fue firmado cuando el certificado era v\u00e1lido, Windows lo considera leg\u00edtimo, incluso si ese certificado ha sido revocado.<\/p>\n El controlador EnPortv.sys tambi\u00e9n se beneficia de una excepci\u00f3n de compatibilidad<\/strong> introducida con Windows 10 versi\u00f3n 1607. Microsoft ha establecido un proceso m\u00e1s estricto para la firma de nuevos controladores, pero permite que algunos controladores m\u00e1s antiguos, firmados antes del 29 de julio de 2015 y asociados con una autoridad aceptada, sigan siendo cargados en el sistema.<\/p>\n Una vez que el controlador malicioso se carga, el atacante puede finalizar procesos desde el n\u00facleo del sistema. Este m\u00e9todo permite que los cibercriminales eliminen servicios que Windows normalmente proteger\u00eda, incluyendo agentes EDR y componentes antivirus. La eliminaci\u00f3n de estos procesos se repite en un bucle cada pocos segundos, impidiendo su reinicio autom\u00e1tico.<\/p>\n Un ejemplo de este tipo de ataque fue descrito por Huntress<\/strong>, donde se identific\u00f3 que la rutina maliciosa apuntaba a 59 procesos asociados con las principales soluciones de seguridad del mercado, incluyendo Microsoft Defender, Bitdefender, CrowdStrike, y otros. Aunque el ataque parec\u00eda indicar un despliegue de ransomware, fue detenido antes de alcanzar su fase final.<\/p>\n El uso de controladores obsoletos como EnPortv.sys representa un riesgo significativo para la seguridad de los sistemas operativos Windows. La vulnerabilidad en la pol\u00edtica de firma de controladores puede ser explotada por cibercriminales para neutralizar soluciones de seguridad y llevar a cabo ataques maliciosos. Es crucial que los usuarios y las organizaciones est\u00e9n al tanto de estas amenazas y tomen medidas proactivas para proteger sus sistemas, tales como mantener actualizados sus antivirus y EDR, as\u00ed como evaluar peri\u00f3dicamente los controladores instalados en su infraestructura.<\/p>\n\u00bfQu\u00e9 es EnPortv.sys?<\/h3>\n
Mecanismo de carga de controladores en Windows<\/h3>\n
Excepciones de compatibilidad<\/h3>\n
Impacto en la ciberseguridad<\/h3>\n
Ejemplo de ataque<\/h3>\n
Conclusi\u00f3n<\/h3>\n