### Vulnerabilidad en la validación de firmas digitales de drivers Windows expone a sistemas a malware firmado con certificados caducados

#### Introducción

Un reciente hallazgo en el ecosistema de seguridad de Windows ha puesto de relieve una debilidad crítica en la validación de firmas digitales de controladores (drivers) en sistemas operativos de Microsoft. El incidente salió a la luz tras detectarse que un conocido software forense utilizaba un driver firmado con un certificado digital expirado hace años, pero aun así era cargado y ejecutado por Windows sin ninguna advertencia ni bloqueo. Esta brecha plantea serias preocupaciones sobre la integridad de la cadena de confianza en la gestión de drivers y abre la puerta a posibles ataques de escalada de privilegios y ejecución de código malicioso a nivel de kernel.

#### Contexto del Incidente o Vulnerabilidad

La problemática fue identificada durante una auditoría de seguridad a una herramienta forense ampliamente empleada por cuerpos de seguridad y consultoras de ciberseguridad. Los investigadores notaron que el driver central del producto estaba firmado con un certificado cuya validez había expirado hacía varios años. Según las políticas de seguridad de Microsoft, los controladores de modo kernel deben estar firmados digitalmente con certificados válidos para ser aceptados por el sistema operativo, especialmente desde la introducción de Driver Signature Enforcement en Windows Vista x64 y su endurecimiento en versiones recientes.

Sin embargo, el análisis reveló que, pese a la caducidad del certificado, Windows permitía la carga del driver tanto en versiones antiguas como en builds recientes de Windows 10 y Windows 11, evidenciando una grave deficiencia en la comprobación de la validez temporal de las firmas digitales en los controladores.

#### Detalles Técnicos

La vulnerabilidad radica en la forma en que Windows implementa la validación de firmas digitales para drivers. El proceso debería verificar no solo la integridad de la firma y la identidad del emisor, sino también la vigencia temporal del certificado en el momento de la firma, conforme a lo especificado en la RFC 5280 y las mejores prácticas de PKI.

En este caso, el driver presentaba una firma Authenticode con un certificado X.509 expirado, pero acompañado de un timestamp emitido por una autoridad de sellado de tiempo (TSA). Windows, al validar la firma, priorizó la existencia del timestamp sobre la validez actual del certificado, aceptando el driver como legítimo.

Este comportamiento, documentado en parte por Microsoft para permitir la validez de software firmado antes de la expiración del certificado, puede ser explotado si un atacante consigue un driver firmado con un certificado legítimo que posteriormente expire o sea revocado. A través de técnicas documentadas en MITRE ATT&CK como «Valid Accounts» y «Signed Binary Proxy Execution» (T1218), los actores de amenazas pueden reutilizar drivers legítimos para escalar privilegios, evadir controles de seguridad y ejecutar payloads a nivel de kernel, como rootkits y EDR killers.

Cabe destacar que existen exploits públicos en frameworks como Metasploit y Cobalt Strike que aprovechan la carga de drivers firmados para obtener ejecución arbitraria en el kernel. Además, el incidente recuerda al abuso de drivers vulnerables (“Bring Your Own Vulnerable Driver” – BYOVD) como vector de ataque en campañas recientes de ransomware y APTs.

#### Impacto y Riesgos

El principal riesgo de esta brecha reside en que permite cargar en el kernel controladores firmados con certificados caducados, facilitando que actores maliciosos introduzcan rootkits, keyloggers o herramientas de evasión de EDR bajo la apariencia de software legítimo. Según estimaciones de varias consultoras, hasta un 15% de las detecciones recientes de malware a nivel kernel involucran drivers firmados aprovechando lagunas en la validación de firmas.

El impacto potencial es elevado: desde la escalada de privilegios local y la persistencia avanzada, hasta la desactivación de soluciones de protección y detección. Empresas bajo obligaciones regulatorias como GDPR o NIS2 podrían enfrentarse a sanciones económicas si esta brecha deriva en fugas de datos o interrupciones de servicio.

#### Medidas de Mitigación y Recomendaciones

– **Auditoría de drivers instalados**: Revisar periódicamente los drivers presentes en los endpoints, identificando aquellos firmados con certificados caducados o revocados.
– **Políticas de Application Control**: Implementar AppLocker o Microsoft Defender Application Control (MDAC) para restringir la carga de drivers que no estén explícitamente permitidos.
– **Reforzar la cadena de confianza**: Exigir la validación estricta de la vigencia del certificado en el momento de la firma, considerando la autenticidad del timestamp.
– **Actualización de herramientas forenses y de administración**: Sustituir versiones antiguas cuya firma haya expirado por versiones actualizadas y firmadas correctamente.
– **Monitorización de eventos de carga de drivers**: Configurar alertas en SIEMs ante la carga de drivers no habituales o con firmas no válidas.

#### Opinión de Expertos

Especialistas en ciberseguridad y directores de equipos SOC advierten que la confianza excesiva en la validez de una firma digital sin comprobar los atributos temporales puede minar la seguridad de toda la plataforma Windows. «Este incidente demuestra que la cadena de confianza es tan fuerte como su eslabón más débil. La validación de la vigencia de los certificados es crítica, especialmente en el contexto de drivers de kernel», señala un CISO de una multinacional europea.

#### Implicaciones para Empresas y Usuarios

El hallazgo obliga a las organizaciones a revisar sus procedimientos de gestión de drivers y refuerza la necesidad de políticas Zero Trust también a nivel de sistema operativo. Los usuarios finales pueden verse afectados indirectamente si herramientas de terceros cargan drivers caducados, abriendo la puerta a ataques de escalada de privilegios y amenazas persistentes avanzadas.

#### Conclusiones

La permisividad de Windows al cargar drivers firmados con certificados expirados, aunque dispongan de timestamp, representa una amenaza significativa para la seguridad de los sistemas. La industria debe actualizar sus controles y procesos de validación para mitigar este vector de ataque, reforzando la cadena de confianza en todo el ciclo de vida del software.

(Fuente: www.darkreading.com)