Microsoft perfecciona la verificación de controladores de terceros …



El controlador Rogue se distribuyó dentro de la comunidad de juegos en China, dice la compañía.

Microsoft está refinando sus políticas y procesos para certificar controladores a través de su Programa de compatibilidad de hardware de Home windows (WHCP) después de un incidente reciente en el que la compañía parece haber firmado inadvertidamente un controlador malicioso que luego se distribuyó en entornos de juego en China.

En una publicación del blog del Centro de Respuesta de Seguridad de Microsoft (MSRC) el viernes, Microsoft dijo que estaba investigando el incidente, en el que una entidad anónima envió controladores para su certificación a través de WHCP. Microsoft no confirmó explícitamente que había firmado, y por lo tanto había validado como confiable, al menos un controlador malicioso. Sin embargo, Microsoft dijo que había suspendido la cuenta de la parte que había enviado los controladores y había revisado otros envíos de ellos en busca de malware.

«No hemos visto evidencia de que el certificado de firma de WHCP haya sido expuesto», señaló la empresa. «La infraestructura no se vio comprometida». Microsoft no ofreció detalles adicionales sobre cómo el actor logró pasar el controlador malicioso más allá de los controles de seguridad de la compañía. Un portavoz de Microsoft declinó hacer más comentarios.

La incidente es el último ejemplo de lo que dicen los expertos en seguridad es un creciente objetivo de la cadena de suministro de software package por parte de los actores de amenazas cibernéticas. En los meses transcurridos desde diciembre pasado, cuando SolarWinds reveló que su sistema de creación de software program se había visto comprometido, el tema de la seguridad de la cadena de suministro ha ganado una atención cada vez mayor no solo dentro de la industria sino también en los círculos gubernamentales. Un ejemplo que muestra preocupación sobre el tema es una disposición en una orden ejecutiva que el presidente Biden firmó en mayo que requería que las agencias civiles federales mantuvieran cadenas de suministro de código fuente confiables y una lista de materiales de computer software integral.

«Supongo que la buena noticia es que esta exposición fue una falla de proceso en Microsoft que no identificó al controlador como malicioso antes de firmarlo digitalmente en lugar de un compromiso del certificado de firma de Microsoft en sí», dice Chris Clements, vicepresidente de arquitectura de soluciones en Centinela de Cerberus. Un compromiso del certificado de firma habría permitido a un atacante firmar tantos controladores como quisiera de una manera que sería indistinguible de la propia Microsoft, dice.

Karsten Hahn, analista de seguridad de G Knowledge, fue el primero en detectar el problema del controlador malicioso en Microsoft. Según Hahn, El sistema de alerta de malware de G Knowledge notificó a la empresa sobre un problema potencial con un controlador firmado por Microsoft llamado Netfilter. Tras una inspección más cercana, se descubrió que el rootkit estaba redirigiendo el tráfico a direcciones IP con sede en China. Investigador de malware independiente Johann Aydinbas, a quien Hahn identificó como contribuyente a la investigación sobre Netfilter, describió el controlador como diseñado principalmente para escuchas SSL, redireccionamiento de IP e instalación de un certificado raíz en el registro del sistema.

Microsoft dijo que el objetivo del autor del malware period usar el controlador para falsificar su geolocalización y poder jugar desde cualquier lugar. «El malware les permite obtener una ventaja en los juegos y posiblemente explotar a otros jugadores comprometiendo sus cuentas a través de herramientas comunes como keyloggers». La compañía ha actualizado su producto antivirus Microsoft Defender y ha distribuido firmas contra la amenaza a otros proveedores de seguridad.

Ilia Kolochenko, fundadora, directora ejecutiva y arquitecta en jefe de ImmuniWeb, dice que el último incidente es un gran ejemplo de por qué las organizaciones deben cambiar a modelos de seguridad de confianza cero en los que todo el application y las entidades externas se consideran no confiables y, por lo tanto, se verifican, prueban y prueban con diligencia monitoreado continuamente. «La industria conoce muchos incidentes similares, por ejemplo, cuando las aplicaciones móviles de Android o iOS están aprobadas para ser alojadas en las tiendas de aplicaciones oficiales, pero contienen malware sofisticado, adware o características no documentadas que violan la privacidad», dice Kolochenko.

Existe una situación equivalent con las imágenes de contenedores con puertas traseras disponibles en repositorios públicos, como Docker Hub. «(Las organizaciones deberían) considerar todo el código externo como potencialmente malicioso», dice Kolochenko, «y realizar pruebas rigurosas de seguridad y privacidad antes de implementarlo internamente».

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial