Grave fallo de seguridad en Windows: descubren la forma de saltarse el antivirus de Microsoft para instalar malware en los equipos

n nuevo informe de la firma de ciberseguridad GuidePoint Security ha lanzado la voz de alarma sobre una nueva y peligrosa técnica que están utilizando los ciberdelincuentes para burlar las defensas de Microsoft Defender, el sistema de seguridad preinstalado en los ordenadores Windows, e instalar ransomware en los ordenadores de sus víctimas. El método es especialmente retorcido porque se aprovecha de un componente legítimo del sistema para desactivar por completo el antivirus de Microsoft.

El ataque, que ya se ha asociado a la distribución del ransomware Akira desde el pasado mes de julio, se basa en una técnica conocida como "Trae tu propio driver vulnerable" (BYOVD, por sus siglas en inglés). Consiste en un golpe de dos pasos perfectamente orquestado.

El Caballo de Troya. En primer lugar, los atacantes explotan una vulnerabilidad en un driver completamente legítimo llamado rwdrv.sys. Este controlador pertenece a ThrottleStop, una conocida herramienta para optimizar el rendimiento de los procesadores de Intel. Al explotar este driver, los hackers consiguen un acceso de "nivel kernel" al ordenador, el nivel más profundo y con más privilegios del sistema.

El desarme. Una vez que tienen este control total, los atacantes utilizan ese acceso privilegiado para cargar su propio driver malicioso, llamado hlpdrv.sys. La única misión de este segundo driver es modificar el Registro de Windows para desactivar por completo las medidas de protección de Microsoft Defender, dejando el campo libre para que el ransomware se instale sin ser detectado.

Este ingenioso método de "dos golpes" pone de manifiesto la creciente sofisticación de los ataques de ransomware y la constante batalla que se libra en el campo de la ciberseguridad.

Desde GuidePoint Security advierten de la importancia de no depender únicamente del antivirus que viene por defecto en el sistema. Su recomendación para los usuarios de Windows es clara: además de mantener el sistema siempre actualizado, es fundamental contar con un software antivirus de reputación de terceros que ofrezca capas de protección adicionales para poder hacer frente a este tipo de amenazas avanzadas.