Un equipo de investigadores de seguridad descubrió vulnerabilidades de seguridad de alto riesgo en más de 40 controladores de al menos 20 proveedores diferentes que podrían permitir a los atacantes obtener el permiso más privilegiado en el sistema y ocultar el malware de una manera que no se detecta con el tiempo, a veces durante años. .

Para los atacantes sofisticados, mantener la persistencia después de comprometer un sistema es una de las tareas más importantes, y para lograr esto, las vulnerabilidades de hardware existentes a veces juegan un papel importante.

Uno de esos componentes es un controlador de dispositivo, comúnmente conocido como controlador o controlador de hardware, un programa de software que controla un tipo particular de dispositivo de hardware, ayudándolo a comunicarse correctamente con el sistema operativo de la computadora.

Dado que los controladores de dispositivos se encuentran entre el hardware y el sistema operativo en sí y, en la mayoría de los casos, tienen acceso privilegiado al núcleo del sistema operativo, una debilidad de seguridad en este componente puede conducir a la ejecución de código en la capa del núcleo.

Este ataque de escalada de privilegios puede mover a un atacante del modo de usuario (Anillo 3) al modo kernel del sistema operativo (Anillo 0), como se muestra en la imagen, lo que le permite instalar una puerta trasera persistente en el sistema que un usuario probablemente nunca se daría cuenta.

 

pirateo de controladores de Windows

 

Descubiertos por investigadores de la firma de seguridad de firmware y hardware Eclypsium, algunas de las nuevas vulnerabilidades podrían permitir la lectura / escritura arbitraria de la memoria del núcleo, los registros específicos del modelo (MSR), los Registros de control (CR), los Registros de depuración (DR) y la memoria física .

«Todas estas vulnerabilidades permiten que el controlador actúe como un proxy para realizar un acceso altamente privilegiado a los recursos de hardware, lo que podría permitir a los atacantes convertir las herramientas utilizadas para administrar un sistema en amenazas poderosas que pueden escalar privilegios y persistir de manera invisible en el host, «Los investigadores explican en su informe  titulado ‘Drivers atornillados’.

«El acceso al kernel no solo puede brindarle a un atacante el acceso más privilegiado disponible para el sistema operativo, sino que también puede otorgar acceso a las interfaces de hardware y firmware con privilegios aún mayores, como el firmware del BIOS del sistema».

Dado que el malware que se ejecuta en el espacio del usuario puede simplemente buscar un controlador vulnerable en la máquina víctima para comprometerlo, los atacantes no tienen que instalar su propio controlador vulnerable, la instalación que de lo contrario requiere privilegios de administrador del sistema.

Todos los controladores vulnerables, como se enumeran a continuación, descubiertos por los investigadores, han sido certificados por Microsoft.

  • American Megatrends International (AMI)
  • ASRock
  • ASUSTeK Computer
  • Tecnologías ATI (AMD)
  • Biostar
  • EVGA
  • Getac
  • GIGABYTE
  • Huawei
  • Insyde
  • Intel
  • Micro-Star International (MSI)
  • NVIDIA
  • Phoenix Technologies
  • Realtek Semiconductor
  • SuperMicro
  • Toshiba

La lista también incluye tres proveedores de hardware más que los investigadores aún no nombraron, ya que «todavía están bajo embargo debido a su trabajo en entornos altamente regulados y tomará más tiempo tener una solución certificada y lista para implementar en los clientes».

«Algunos controladores vulnerables interactúan con tarjetas gráficas, adaptadores de red, discos duros y otros dispositivos», explican los investigadores. «El malware persistente dentro de estos dispositivos podría leer, escribir o redirigir los datos almacenados, mostrados o enviados a través de la red. Del mismo modo, cualquiera de los componentes podría desactivarse como parte de un ataque DoS o ransomware».

Las fallas del controlador del dispositivo pueden ser más peligrosas que otras vulnerabilidades de la aplicación porque le permite al atacante acceder a los anillos de firmware «negativos» que se encuentran debajo del sistema operativo y mantener la persistencia en el dispositivo, incluso si el sistema operativo está completamente reinstalado, como en el caso del malware LoJax .

Los investigadores han informado de estas vulnerabilidades a los proveedores afectados, de los cuales algunos, incluidos Intel y Huawei , ya han publicado actualizaciones de parches y emitieron un aviso de seguridad.

Además de esto, los investigadores también han prometido lanzar pronto un script en GitHub eso ayudaría a los usuarios a encontrar controladores de agujeros de gusano instalados en sus sistemas, junto con código de prueba de concepto, demostraciones de video y enlaces a controladores y herramientas vulnerables.

Fuente: thehackernews.com

Compartir