Añadir protección por hardware en modo seguro en Windows 11| Local23

La protección de pila aplicada por hardware en modo kernel es una característica de seguridad introducida en Windows 11 22H2 que protege los sistemas contra diversos ataques de memoria, como desbordamientos del búfer de pila.

Microsoft agregó esta función a Windows 11 22H2 a partir de parte de una actualización de Microsoft Defender en abril de 2023.

Cuando se activa, Modo kernel Protección de pila aplicada por hardware mejorará la seguridad de Windows mediante el uso de hardware para aplicar la protección de la pila, lo que dificultará que los atacantes aprovechen las vulnerabilidades.

¿Qué es la protección de pila aplicada por hardware en modo kernel?

La protección de pila aplicada por hardware en modo kernel de Windows es una característica de seguridad que protege principalmente contra ataques de desbordamiento del búfer de pila, donde un atacante intenta desencadenar la ejecución de código arbitrario utilizando un búfer (almacenamiento de memoria temporal) en la pila (una estructura de datos que solía tienda) desbordamiento. llamadas a funciones de un programa y variables locales).

Durante estos ataques, el atacante intenta sobrescribir la dirección del remitente o los datos de control para redirigir la ejecución de un programa para ejecutar código malicioso de su elección.

La técnica de sobrescribir la dirección del remitente o los datos de control para redirigir el flujo de ejecución de un programa se conoce como ataque de programación orientada al retorno (ROP).

La función de protección de pila aplicada por hardware en modo kernel de Windows requiere una pila temporal especial basada en hardware llamada Shadow Stacks para funcionar.

Una pila oculta es una pila de memoria temporal que refleja la pila predeterminada utilizada por el sistema operativo, y las aplicaciones que se ejecutan en Windows no pueden modificar la pila.

Estas pilas de sombras se utilizan de la siguiente manera:

1. Cuando se llama a la función de un programa, la dirección de retorno se almacena tanto en la pila normal como en la pila sombra.
2. Cuando la función regresa, la función de protección de pila aplicada por hardware verifica si la dirección de retorno de la pila principal coincide con la almacenada en la pila oculta.
3. Si las direcciones de retorno coinciden, la función regresa como se esperaba y la ejecución del programa continúa normalmente.
4. Sin embargo, si las direcciones de retorno no coinciden, esto puede indicar un ataque, como un desbordamiento del búfer de pila o un ataque ROP. Cuando esto suceda, Windows finalizará el proceso para evitar la ejecución de código malicioso.

Al utilizar Shadow Stacks, la función de protección de pila aplicada por hardware puede mitigar los ataques y, por lo tanto, proteger el sistema de vulnerabilidades, incluidos los de día cero.

Sin embargo, como lo requieren las pilas de sombras Tecnología de aplicación de flujo de control (CET) de Intel tecnología, la función solo está disponible en CPU más nuevas.

Por lo tanto, para utilizar la protección de pila aplicada por hardware en modo kernel de Windows, un dispositivo debe tener un procesador Intel Tiger Lake o AMD Zen3 y posterior con Virtualización de CPU habilitada en la BIOS.

Cómo habilitar la protección de pila aplicada por hardware en modo kernel

Aunque la función de protección de pila aplicada por hardware en modo kernel de Windows puede ser complicada de entender, es bastante fácil habilitar la función.

Si está ejecutando Windows 11 22H2 con las últimas actualizaciones, abra Seguridad de Windows y verifique Seguridad del dispositivo > Aislamiento del núcleo.

Si tiene el hardware necesario y la virtualización de CPU está habilitada, verá una configuración llamada 'Modo kernel Protección de pila aplicada por hardware,' Como se muestra abajo.

Para habilitar la función, simplemente cámbiela a "Activado" y Windows comprobará los controladores de dispositivo cargados para ver si hay alguno que pueda entrar en conflicto con la función de seguridad.

Si se detecta algún controlador en conflicto, le pedirá que verifique la lista de controladores para actualizar a versiones más recientes antes de poder habilitar la función.

Una vez que actualice los controladores a las últimas versiones, puede intentar volver a habilitar la función y ver si hay más conflictos.

Si no se encuentran controladores conflictivos, es posible que Windows le solicite que reinicie la computadora para habilitar la función.

Puede provocar un comportamiento inesperado

Desafortunadamente, cuando esta función está habilitada, es posible que programas específicos dejen de funcionar porque sus controladores entran en conflicto con la función Protección de pila forzada por hardware en modo kernel.

Esto suele suceder cuando Windows no detecta un controlador que entra en conflicto con la función y la habilita de todos modos.

Aunque estos conflictos pueden provocar que Windows falle, es más común que el programa deje de iniciarse y Windows dirá que el controlador no es compatible y le pedirá que desactive la función de seguridad.

Los usuarios que han habilitado esta función informan que muchos de los conflictos están relacionados con la protección de derechos de autor y los administradores anti-trampas utilizados por los juegos, incluidos PUBG, Agradecer (Vanguardia antidisturbios), caza de sangre, Destino 2, Impacto de Genshin, Estrella de fantasía en línea 2 (guardia de caza) y diaz.

Sin embargo, a medida que más usuarios comiencen a utilizar esta característica de seguridad de Windows, es probable que veamos versiones mejoradas de estos programas anti-trampas y de protección de derechos de autor para admitir la protección de la pila.