La aparición del ataque BYOVD (traiga su propio controlador vulnerable) pone de manifiesto una vulnerabilidad preocupante en los controladores legítimos firmados. Esta forma de explotación permite a los ciberdelincuentes ejecutar código a nivel de kernel, evadir la detección de Microsoft Defender y, posteriormente, distribuir ransomware. Para proteger su sistema, es fundamental implementar las medidas de protección descritas en esta guía.
Comprender el ataque BYOVD y su impacto en Microsoft Defender
El ataque BYOVD utiliza principalmente el controlador rwdrv.sys, que, si bien suele asociarse con aplicaciones legítimas como Throttlestop o diversos programas de control de ventiladores, puede manipularse para obtener acceso no autorizado al kernel. A continuación, se detalla el proceso del ataque:
- Los atacantes se infiltran en la PC objetivo, a menudo a través de ataques de red o empleando troyanos de acceso remoto (RAT).
- Una vez asegurado el acceso, instalan el controlador confiable rwdrv.sys.
- Este controlador se utiliza para obtener privilegios elevados, lo que permite la instalación del controlador malicioso hlpdrv.sys.
- Luego, el controlador hlpdrv.sys altera la configuración del Registro de Windows, deshabilitando efectivamente las funciones de protección de Microsoft Defender.
- Una vez eludidas estas defensas, los atacantes pueden instalar ransomware o realizar otras actividades maliciosas.
Actualmente, el ransomware Akira se ha vinculado a estos ataques. Sin embargo, al quedar ineficaz Microsoft Defender, los atacantes podrían ejecutar una amplia gama de operaciones maliciosas. Es fundamental mantenerse alerta siguiendo las siguientes medidas preventivas.
Mejora de las funciones de seguridad de Windows
Windows incluye funciones de seguridad que pueden frustrar estos ataques, incluso cuando Microsoft Defender está comprometido. Para reforzar sus defensas, busque «Seguridad de Windows» en el menú de inicio y active las siguientes opciones de seguridad, que pueden estar deshabilitadas por defecto:
- Acceso controlado a carpetas: Esta función protege contra amenazas de ransomware incluso si Defender no está conectado. Vaya a Protección contra virus y amenazas → Administrar configuración → Administrar acceso controlado a carpetas y active la opción. También puede designar carpetas específicas para ofrecer mayor protección contra ataques de ransomware.
- Funciones de Aislamiento del Núcleo: Habilitar estas funciones puede prevenir la instalación de controladores vulnerables y bloquear la ejecución de código dañino. Asegurarse de que estas configuraciones estén activas puede mejorar significativamente la seguridad de su sistema, deteniendo potencialmente los ataques BYOVD antes de que se infiltren. Vaya a Seguridad del dispositivo y acceda a los detalles de Aislamiento del Núcleo. Se recomienda habilitar todas las funciones aquí; sin embargo, tenga en cuenta que la activación de la Integridad de la Memoria puede requerir ajustes adicionales en el controlador.
Eliminación de utilidades innecesarias a nivel de kernel
Se recomienda precaución al usar herramientas de utilidad que operan a nivel de kernel, ya que muchas utilizan el controlador rwdrv.sys. Cuando este controlador ya está presente en el sistema, se simplifica el trabajo de los atacantes, ya que no necesitan instalar una copia adicional. Estos controladores ya instalados han sido explotados en ataques recientes. Si no necesita estas herramientas de utilidad, considere dejar de usarlas, especialmente aquellas como Throttlestop o RWEverything que instalan rwdrv.sys.
Para comprobar si rwdrv.sys está instalado, introduzca «cmd» en la búsqueda de Windows, haga clic con el botón derecho en el símbolo del sistema y seleccione Ejecutar como administrador. Ejecute el comando where /r C:\ rwdrv.syspara realizar un análisis. Si el resultado indica la presencia de rwdrv.sys, identifique y desinstale la aplicación responsable de su instalación.
Utilización de cuentas de usuario estándar para las operaciones diarias
Para una protección óptima contra amenazas como BYOVD, se recomienda utilizar una cuenta estándar para las actividades cotidianas en lugar de una cuenta de administrador. Esta estrategia es especialmente importante, ya que el ataque aprovecha los privilegios de administrador para instalar o explotar controladores vulnerables.
Al operar con una cuenta estándar, los hackers tendrán dificultades para implementar cambios con privilegios elevados en el sistema, lo que impedirá que el ataque avance. Si se produce un intento de intrusión, recibirá notificaciones al respecto. Para crear una nueva cuenta estándar, vaya a Configuración de Windows, seleccione Cuentas → Otros usuarios → Agregar cuenta y siga las instrucciones para configurar una nueva cuenta con privilegios estándar.
Explorando soluciones antivirus alternativas
Este ataque específico fue diseñado para desactivar las protecciones de Microsoft Defender; sin embargo, es menos efectivo contra soluciones antivirus de terceros. Estas aplicaciones emplean diversos métodos para gestionar sus funciones de protección, lo que dificulta que ataques como BYOVD tengan éxito de forma uniforme.
Para mejorar su seguridad, considere instalar un programa antivirus gratuito y confiable con capacidades de escaneo en tiempo real, como Avast o AVG Antivirus.
Investigadores de seguridad de organizaciones como GuidePoint y Kaspersky ya han detectado el uso de rwdrv.sys en ataques relacionados con BYOVD con el ransomware Akira y han publicado indicadores de compromiso (IoC).Si bien esperamos que Microsoft presente próximamente soluciones para abordar esta vulnerabilidad, sea proactivo activando todas las funciones de seguridad de Windows disponibles, en particular las funciones avanzadas de Microsoft Defender.
Deja una respuesta