Cómo bloquear la instalación automática Plug-and-Play de aplicaciones inseguras en Windows
Recientemente se descubrió un truco que evita que tu dispositivo sea controlado por aplicaciones vulnerables de Windows cuando los dispositivos están conectados a tu computadora.
El mes pasado, investigadores detallaron cómo simplemente conectando un dispositivo en Windows también se podía instalar una aplicación de un proveedor que permite a los usuarios comunes obtener rápidamente privilegios de SYSTEM. Por si no lo sabes, SYSTEM el nivel de privilegio de usuario más elevado en Windows.
Por ejemplo, cuando los usuarios conectan un mouse USB Razer, Windows instala automáticamente su controlador y el software Razer Synapse.
Sin embargo, dado que Windows inició la instalación del software mediante un proceso con privilegios de SYSTEM, el software Razer Synapse también se ejecutó con privilegios de SYSTEM.
Durante la instalación de Razer Synapse, puedes especificar una carpeta diferente para instalar el programa, lo que abre un cuadro de diálogo ‘Elegir una carpeta’.
Sin embargo, cuando este cuadro de diálogo está abierto, es posible abrir una consola de PowerShell, que también se abriría con los privilegios de SYSTEM del instalador de Razer Synapse.
Para aquellos que no están familiarizados con los privilegios del SYSTEM, son los permisos de usuario más elevados disponibles en Windows y te permiten ejecutar cualquier comando en el sistema operativo.
Usando estos errores, los usuarios con pocos privilegios en un dispositivo Windows pueden fácilmente tomar el control completo sobre él simplemente conectando un mouse USB de $20.
Esta vulnerabilidad se descubrió en aplicaciones conocidas como “co-instaladores” y, desde que se detectó la primera, otros investigadores encontraron más dispositivos que pueden permitir la elevación de privilegios locales.
Bloqueo de aplicaciones de coinstaladores de controladores en Windows
Cuando los desarrolladores de hardware envían controladores a Microsoft para su distribución a través de Windows, pueden configurar co-instaladores específicos del dispositivo que se ejecutarán después de que Windows instale el controlador Plug-and-Play (“enchufar, conectar y usar”).
Estos co-instaladores se pueden utilizar para configurar claves de registro específicas del dispositivo, descargar e instalar otras aplicaciones o realizar otras funciones necesarias para que el dispositivo funcione correctamente.
A través de la función de coinstaladores, Razer, Synapse y otros fabricantes de hardware pueden instalar sus utilidades de configuración cuando sus dispositivos USB están conectados a una computadora.
El truco para evitar la explotación de esta función consiste en configurar un valor del Registro de Windows que bloquea la instalación de los co-instaladores durante la función Plug-and-Play.
Para hacer esto, debes abrir el Editor del Registro y navegar hasta la clave de Registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Device Installer. Debajo de esa clave, debes agregar un valor DWORD-32 llamado DisableCoInstallers y configurarlo en 1, como se muestra a continuación.
Una vez habilitado, Windows bloqueará la instalación de co-instaladores cuando conectes un dispositivo USB asociado a tu computadora.
Es importante tener en cuenta que realizar este cambio bloqueará la instalación automática del software de configuración de un dispositivo. En su lugar, deberás descargarlo e instalarlo manualmente desde el sitio del proveedor.
Sin embargo, el inconveniente vale la seguridad adicional recibida al bloquear la instalación de aplicaciones potencialmente explotables durante el proceso Plug-and-Play de Windows.