Se ha detectado una nueva forma de distribución de ransomware la cual explota una vulnerabilidad presente en los driver de hardware de la empresa GIGABYTE, logrando instalar en sistemas Windows controladores maliciosos sin firma digital a través de una detención forzada de los procesos de seguridad y antivirus.
La mayoría de los procesos de software de seguridad en Windows están protegidos, vale decir, que solo pueden ser terminados por los controladores de Kernel. Además, Microsoft añadió una política de firma de controladores que impide la instalación de controladores del kernel de Windows a menos que estos sean firmados por Microsoft. Esto impide que atacantes logren instalar controladores maliciosos y obtener privilegios superiores sin que Microsoft los revise primero. Sin embargo, la vulnerabilidad presente desde 2018 logra eludir los controles de seguridad antes mencionados.
Los productos afectados de GIGABYTE son:
Se recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
Producto | Versión |
---|---|
Microsoft Windows |
8 8.1 10 |
Drivers Hardware GIGABYTE |
versiones según CVEs referenciados |
Tipo | Indicador |
---|---|
hash | 791c32a95f401f7464214960e49... |
hash | 99c3cc348f8ee4e87bce45b1dd1... |
hash | 3bc78141ff3f742c5e942993adf... |
hash | d36e6282363c0f9c05b7b04412d... |