Se ha emitido una advertencia de máxima prioridad operativa ante el aumento de técnicas de evasión de defensas en las que actores de amenazas están neutralizando silenciosamente soluciones de seguridad EDR (Endpoint Detection and Response). Utilizando una técnica avanzada conocida como BYOVD (Bring Your Own Vulnerable Driver), los atacantes logran “asesinar” (matar) los procesos de seguridad desde su raíz, dejando a las estaciones de trabajo y servidores completamente ciegos ante el despliegue de ransomware o herramientas de exfiltración.
Anatomía del Ataque
El concepto fundamental de este ataque es la explotación de la confianza inherente del sistema operativo hacia componentes firmados digitalmente. La cadena de explotación opera de la siguiente manera:
- Escalada de Privilegios Previa: El ataque asume que el actor de amenazas ya ha logrado comprometer el equipo y cuenta con privilegios de Administrador Local.
- Despliegue del Controlador “Caballo de Troya”: En lugar de intentar atacar el EDR frontalmente, el atacante introduce (dropea) en el sistema un controlador de núcleo (kernel driver, archivo .sys) de terceros antiguo o desactualizado. Este controlador es legítimo, posee una firma digital válida (aprobada por Microsoft u otro proveedor de confianza), pero contiene una vulnerabilidad crítica conocida.
- Carga a Nivel de Kernel (Ring 0): Dado que la firma digital es válida y, en muchos casos, no ha sido revocada en las listas de bloqueo estándar, el sistema operativo permite que el controlador se cargue directamente en el núcleo (Kernel / Ring 0), el nivel de mayor privilegio del sistema.
- Explotación y “Asesinato” del EDR: Una vez dentro del Kernel, el atacante utiliza un exploit dirigido a la vulnerabilidad de ese controlador específico para ejecutar código arbitrario. Desde este nivel de acceso absoluto, el atacante instruye al sistema para terminar forzosamente los procesos y servicios del EDR protegido. Al operar desde el núcleo, el atacante tiene mayor autoridad que los mecanismos de autoprotección (tamper protection) del software de seguridad, logrando apagarlo sin generar alertas de bloqueo.
Impacto
El impacto es el colapso total de la visibilidad y protección del endpoint:
- Ceguera del SOC: Al matar el agente del EDR, el Centro de Operaciones de Seguridad (SOC) deja de recibir telemetría. Los atacantes pueden aprovechar esta ventana ciega para operar impunemente.
- Evasión de Defensas Avanzada: Esta técnica anula las inversiones en seguridad de endpoints de primer nivel, ya que elude la detección basada en firmas y comportamientos al abusar de binarios legítimos.
- Vía Libre para Ransomware: Comúnmente, este es el paso inmediatamente anterior al despliegue masivo de cargas destructivas o cifrado de discos.
Recomendaciones y Mitigación Inmediata
La defensa contra ataques BYOVD es compleja, ya que involucra bloquear software “legítimo”. Se deben adoptar controles de compensación agresivos:
- Activación de la Lista de Bloqueo de Controladores de Microsoft: Es mandatorio habilitar y mantener actualizada la política de la “Lista de bloqueo de controladores vulnerables de Microsoft” (Microsoft Vulnerable Driver Blocklist) a través de Windows Defender Application Control (WDAC) o las directivas de integridad de código del hipervisor (HVCI). Esto impedirá que el sistema operativo cargue controladores conocidos por ser abusados en este tipo de ataques, independientemente de si están firmados.
- Auditoría Estricta de Privilegios Locales: El ataque BYOVD requiere permisos de administrador para cargar el controlador en el Kernel. Reforzar el principio de privilegio mínimo y revocar los derechos de administrador local a los usuarios estándar es la barrera preventiva más efectiva.
- Reglas de Reducción de Superficie de Ataque (ASR): Configurar reglas ASR en el ecosistema de seguridad para bloquear la creación de procesos o la escritura de archivos .sys originados desde ubicaciones temporales o mediante procesos de scripting no habituales.
- Monitoreo de Eventos del Sistema (Event ID 6): Configurar las herramientas SIEM para que levanten alertas de alta criticidad cada vez que se detecte la carga de un nuevo controlador (Sysmon Event ID 6) que no forme parte del inventario de software estándar de la organización, investigando inmediatamente la procedencia de la firma digital.
