Controladores vulnerables: ataques BYOVD y CVEs conocidos

Los controladores firmados pero vulnerables — paradójicamente piezas de software cuya legitimidad Microsoft confirmó alguna vez con la firma — son hoy uno de los vectores de ataque más usados contra sistemas Windows. Las técnicas se conocen colectivamente como BYOVD — Bring Your Own Vulnerable Driver.

Cómo funcionan los ataques BYOVD

1. El atacante obtiene un controlador firmado — descargado de un fabricante como Dell, MSI, ASUS o capturado de archivos en Internet.
2. El controlador tiene una vulnerabilidad documentada (CVE), p.ej. una llamada IOCTL no validada que permite a usuarios sin privilegios ejecutar código en el kernel.
3. El malware instala el controlador (firmado, parece legítimo) — Windows lo carga sin avisar.
4. Mediante la vulnerabilidad, el malware obtiene privilegios SYSTEM — el nivel más alto de Windows.
5. Con SYSTEM, el atacante puede desactivar EDRs, antivirus y otras protecciones.

CVEs famosos: BYOVD en la práctica

CVE-2021-21551 — Dell DBUtil_2_3.sys

Probablemente el caso más conocido. El controlador DBUtil_2_3.sys, instalado por Dell SupportAssist, permitía mediante un IOCTL no validado a un usuario sin privilegios escribir en cualquier dirección del kernel. Explotado por SCATTERED SPIDER, BlackByte y muchos otros. Dell parcheó el problema en mayo de 2021.

CVE-2019-16098 — MSI Afterburner RTCore64.sys

El popular controlador de overclocking de MSI Afterburner permitía vía IOCTL acceso libre a registros MSR del CPU. BlackByte y otros grupos ransomware usaron RTCore64 para desactivar EDR. MSI parcheó el problema en 2022 (Afterburner 4.6.5).

CVE-2021-4128 — ASUS AI Suite

El controlador AsIO3.sys de ASUS AI Suite tenía vulnerabilidades similares. ASUS publicó un parche, pero versiones antiguas siguen circulando.

CVE-2020-15368 — ASRock Polychrome RGB

El controlador RGBController.sys del software RGB de ASRock permitía Privilege Escalation. Solución: actualizar a Polychrome 1.0.91+ o reemplazar por OpenRGB.

CVE-2022-26340 — Razer Synapse rzpnk.sys

El controlador rzpnk.sys de Razer Synapse permitía a usuarios locales obtener derechos SYSTEM. Solución: Synapse 3.7+.

Protección contra ataques BYOVD

1. Microsoft Vulnerable Driver Blocklist

Microsoft mantiene una lista de bloqueo de controladores vulnerables conocidos. Activación:

• Windows 11: Configuración → Privacidad y seguridad → Seguridad de Windows → Seguridad del dispositivo → Aislamiento del núcleo → activar «Microsoft Vulnerable Driver Blocklist»
• La lista se actualiza con los Patch Tuesdays

2. HVCI (Memory Integrity)

Hypervisor-Protected Code Integrity verifica firmas de controladores en el kernel y bloquea controladores no firmados o vulnerables. Compatible desde Windows 10 1803, en Windows 11 estándar (en hardware compatible).

• Activación: Configuración → Seguridad de Windows → Aislamiento del núcleo → Memory Integrity → Activar
• Tras activar: posiblemente reinstalar controladores antiguos (HVCI bloquea muchos controladores legacy)

3. Mantén los controladores actualizados

La defensa más simple: instalar regularmente las versiones más recientes — los fabricantes parchean estas vulnerabilidades con relativa rapidez. Comprueba especialmente:

• Software RGB (Razer Synapse, ASUS Aura, ASRock Polychrome, MSI Mystic Light)
• Herramientas de overclocking (MSI Afterburner, Ryzen Master)
• Herramientas de fabricante (Dell SupportAssist, ASUS AI Suite)
• Controladores muy antiguos sin actualizaciones desde hace años