Microsoft ahora permite a los usuarios de Windows bloquear controladores con vulnerabilidades conocidas con la ayuda de Windows Defender Application Control (WDAC) y una lista de bloqueo de controladores vulnerables.
La nueva opción es parte del conjunto de funciones de seguridad Core Isolation para dispositivos que utilizan seguridad basada en virtualización.
Funciona en dispositivos que ejecutan Windows 10, Windows 11 y Windows Server 2016 y superior con integridad de código protegido por hipervisor (HVCI ) habilitado y en sistemas Windows 10 en modo S.
WDAC, la capa de seguridad basada en software que bloquea los controladores vulnerables, protege los sistemas Windows contra software potencialmente malicioso al garantizar que solo se puedan ejecutar controladores y aplicaciones confiables, bloqueando el lanzamiento de malware y software no deseado.
La lista de bloqueo de controladores vulnerables utilizada por esta nueva opción de seguridad de Windows se mantiene actualizada con la ayuda de proveedores de hardware independientes (IHV) y fabricantes de equipos originales (OEM). Los controladores también se pueden enviar para el análisis de seguridad a través de la página de envío de controladores de inteligencia de seguridad de Microsoft .
Refuerza los sistemas Windows contra controladores desarrollados por terceros con cualquiera de los siguientes atributos:
- Vulnerabilidades de seguridad conocidas que los atacantes pueden explotar para elevar los privilegios en el kernel de Windows
- Comportamientos maliciosos (malware) o certificados utilizados para firmar malware
- Comportamientos que no son maliciosos pero eluden el modelo de seguridad de Windows y pueden ser explotados por atacantes para elevar los privilegios en el kernel de Windows
La opción «Lista de bloqueo de controladores vulnerables de Microsoft» se puede activar desde Seguridad de Windows > Seguridad del dispositivo > Aislamiento del núcleo.
Una vez habilitado, bloquea ciertos controladores en función de su hash SHA256, en función de los atributos del archivo, como el nombre del archivo y el número de versión, o en el certificado de firma de código utilizado para firmar el controlador.
Esta función también hará que los programas legítimos no funcionen, como Cheat Engine y Process Hacker, ya que sus controladores están bloqueados.
«El bloqueo de los controladores del kernel sin pruebas suficientes puede provocar que los dispositivos o el software funcionen mal y, en casos excepcionales, una pantalla azul», advierte Microsoft .
«Se recomienda validar primero esta política en modo de auditoría y revisar los eventos del bloque de auditoría».
Un portavoz de Microsoft no estaba disponible para hacer comentarios cuando BleepingComputer se puso en contacto con ellos el día de hoy.
Microsoft también planea lanzar un nuevo servicio de implementación para controladores y firmware ( como una vista previa pública a partir de la primera mitad de 2022) para brindar a los administradores de Windows un control total sobre las actualizaciones de controladores al permitirles seleccionar los controladores correctos para los dispositivos en sus redes empresariales.
Fuente: https://www.bleepingcomputer.com
