Una reciente actualización de Microsoft Defender en Windows 11 implementa una nueva función de seguridad llamada «Protección de pila de hardware en modo de núcleo» y elimina la protección de la Autoridad de Seguridad Local (LSA) del panel de configuración.
Microsoft no ha proporcionado documentación sobre los cambios presentados, lo que genera muchas preguntas.
La protección de la Autoridad de Seguridad Local (Local Security Authority Protection, LSA) permite reforzar la protección de la información confidencial contra el robo, bloqueando la introducción de código no confiable en el proceso LSASS y creando una memoria del proceso LSASS.
Antes de la actualización, los usuarios de Windows podían activar la opción Protección de la Autoridad de Seguridad Local en la aplicación «Seguridad de Windows» > Seguridad del dispositivo > Aislamiento del núcleo, si el dispositivo utilizaba un procesador que admita la virtualización.
Sin embargo, en las últimas semanas, los usuarios de Windows 11 se han quejado de que no pueden activar la protección de la Autoridad de Seguridad Local en la configuración de aislamiento del núcleo.
Al intentar activarla, Windows propone reiniciar el equipo, pero después de reiniciarlo, la función no se activa y Windows continúa solicitando un reinicio.
Más tarde, la empresa Microsoft declaró que si habilites la protección LSA y reiniciaste el dispositivo al menos una vez, puedes ignorar las advertencias repetidas.
También la compañía ofreció una ruta alternativa para verificar si está habilitada la protección LSA, y explicó cómo configurar dos claves de registro para desactivar la advertencia.
Actualización de Microsoft Defender causa confusión
La reciente actualización de Microsoft Defender ha generado aún más confusión. Después de su instalación, la función LSA se elimina y se reemplaza por «Protección de pila de hardware en modo kernel» (Kernel-mode Hardware-enforced Stack Protection).
La protección de pila de hardware en modo kernel es una función de seguridad que intenta prevenir ataques de flujo de control basados en ROP (programación orientada a la devolución), que pueden llevar a la ejecución no autorizada de código.
En la descripción de la función se indica:
Para el código que funciona en modo kernel, la CPU confirma las direcciones de retorno solicitadas con una segunda copia de la dirección almacenada en el pila sombra, para evitar que los atacantes sustituyan la dirección con fines de ejecutar código malicioso.
Ten en cuenta que no todos los controladores son compatibles con esta función de seguridad.
Para utilizar la nueva función, el dispositivo Windows debe utilizar procesadores Intel Tiger Lake o AMD Zen3 y versiones posteriores. Windows solo mostrará el nuevo parámetro si el dispositivo tiene el hardware necesario.
Como en el caso de la protección de la integridad de la memoria, al activar la protección hardware del pila en modo núcleo, Windows garantiza que la sistema no se carguen controladores incompatibles. Si están instalados, la función de protección del pila simplemente no se activará y Windows mostrará una lista de controladores incompatibles.
Los usuarios de Windows 11 ya están reportando recibir notificaciones sobre la desactivación de la nueva función debido a controladores en conflicto.
En el Centro de seguridad de Windows se muestra el siguiente aviso:
La protección del hardware de pila en modo kernel está desactivada. Su dispositivo puede estar vulnerable.
A menudo, la lista de controladores incompatibles queda vacía, lo cual provoca aún mayor confusión.
Además, algunos controladores antimalware de juego conflictivos no se identifican como incompatibles, y la protección hardware de pila en modo núcleo se activa sin problemas. Esto provoca fallos del sistema Windows o problemas de inicio de juegos.
Los usuarios de Windows 11 han informado sobre estos problemas en PUBG, Valorant (Riot Vanguard), Bloodhunt, Destiny 2, Genshin Impact, Phantasy Star Online 2 (Game Guard) e Dayz.
¿Qué sucedió con LSA?
Por lo tanto, los usuarios de Windows 11 ya no pueden habilitar LSA, una función que no requiere nuevos procesadores.
Aún no está claro si LSA está incluida en la protección de hardware de la pila en modo kernel o si se eliminó completamente de la interfaz de configuración de Windows, lo que requiere que los usuarios la habiliten manualmente a través del registro.
Microsoft no ha anunciado ninguna alternativa a estas funciones de seguridad ni la incorporación de protección de hardware de pila en modo kernel. Solo hay una breve descripción de la función de protección de pila y algunas menciones en la documentación.
