Hace algún tiempo, Microsoft lanzó una actualización para la Actualización acumulativa de julio que lanzaron para sus usuarios, donde también la lanzaron para Windows 10 y Windows 11.
Simultáneamente, pero en un momento separado, la compañía también anunció que están proporcionando el último SafeOS Dynamic y habilitado para fortalecer la mitigación de seguridad cuando el dispositivo está en modo de arranque seguro.
Pero por error, aparentemente Microsoft también proporciona un peligroso malware que ingresa a través de los controladores que proporciona. Es posible que la empresa no conozca esta información si Trend Micro y Shopos la proporcionan.
“Recientemente se informó a Microsoft que los controladores certificados por el Programa de desarrollo de hardware de Windows (MWHDP) de Microsoft se estaban utilizando de manera maliciosa en actividades posteriores a la explotación. En estos ataques, el atacante obtuvo privilegios administrativos en los sistemas comprometidos antes de utilizar los controladores.
Microsoft completó su investigación y determinó que la actividad se limitó al abuso de varias cuentas de programas de desarrolladores y que no se identificó ningún compromiso de cuenta de Microsoft. Suspendimos las cuentas de vendedor de los socios e implementamos detecciones de bloqueo para todos los controladores maliciosos reportados para ayudar a proteger a los clientes de esta amenaza”. Obviamente Microsoft a través de su página oficial.
Pero Microsoft también proporciona otra información de apoyo, como detalles del malware y también los primeros pasos para minimizar su propagación. Aquí está la explicación completa:
Detalles
Se informó a Microsoft que los controladores certificados por el Programa de desarrollo de hardware de Windows de Microsoft se estaban utilizando de forma maliciosa en actividades posteriores a la explotación. En estos ataques, el atacante ya había obtenido privilegios administrativos en los sistemas comprometidos antes de utilizar los controladores. Se llevó a cabo una investigación cuando Sophos nos notificó sobre esta actividad el 9 de febrero de 2023; Posteriormente, Trend Micro y Cisco proporcionaron informes que contienen detalles adicionales. Esta investigación reveló que varias cuentas de desarrollador del Microsoft Partner Center (MPC) participaban en el envío de controladores maliciosos para obtener una firma de Microsoft. Todas las cuentas de desarrolladores involucradas en este incidente fueron suspendidas inmediatamente.
Acciones recomendadas
Microsoft recomienda que todos los clientes instalen las últimas actualizaciones de Windows y se aseguren de que sus productos antivirus y de detección de terminales estén actualizados con las firmas más recientes y habilitados para prevenir estos ataques.
Entonces, para aquellos de ustedes que estén usando esa versión, pueden tomar inmediatamente las acciones iniciales proporcionadas por Microsoft.
