Microsoft Defender ha recibido una nueva función llamada «Microsoft Vulnerable Driver Blocklist«, y como su propio nombre indica está pensada para bloquear drivers que puedan ser maliciosos, o que puedan contener vulnerabilidades que sirvan como vía de entrada a diferentes tipos de ataque.
El vicepresidente de seguridad empresarial y del sistema operativo de Microsoft, David Weston, fue quien quiso destacar esta nueva característica de Microsoft Defender, y comentó que ayudará a proteger cualquier dispositivo basado en Windows de una manera mucho más eficaz y realista.
Según el gigante de Redmond, la lista de bloqueo de controladores vulnerables de Microsoft Defender está diseñada para ayudar a fortalecer los sistemas contra controladores desarrollados por terceros en todo el ecosistema de Windows que puedan encajar en cualquiera de los siguientes atributos:
- Vulnerabilidades de seguridad conocidas que los atacantes pueden aprovechar para elevar los privilegios en el kernel de Windows.
- Comportamientos maliciosos (malware) o certificados utilizados para firmar malware.
- Comportamientos que no son maliciosos pero eluden el modelo de seguridad de Windows y pueden ser explotados por atacantes para elevar los privilegios en el kernel de Windows.
Microsoft ha dicho que identifica estos controladores potencialmente peligrosos trabajando con sus socios, y que los agrega a su «política de bloqueo del ecosistema». Estos luego se aplican a los dispositivos habilitados para la integridad del código protegido por hipervisor (HVCI) o aquellos con el modo S. La característica está disponible en Windows 11, 10 y Server 2016 y superior.
Desde luego, Microsoft tiene razones de peso para poner el punto de mira, y para estar en alerta máxima, con los controladores maliciosos, ya que en más de una ocasión se ha descubierto que controladores que habían sido firmados y validados para Windows se habían visto comprometidos, y suponían un riesgo para los usuarios. Ahora Microsoft Defender les ha plantado cara.
