Los investigadores que analizan la seguridad de los controladores de dispositivos legítimos descubrieron que se puede abusar de más de 40 de al menos 20 proveedores de hardware para lograr la escalada de privilegios.
El hardware representa los componentes básicos de una computadora sobre la cual reside el software. Los controladores son los que permiten al sistema operativo identificar los componentes de hardware e interactuar con ellos.
El código del controlador permite la comunicación entre el núcleo del sistema operativo y el hardware, disfrutando de un nivel de permiso más alto que el usuario normal y el administrador del sistema.
Por lo tanto, las vulnerabilidades en los controladores son un problema grave, ya que pueden ser explotadas por un actor malicioso para obtener acceso al núcleo y obtener los más altos privilegios en el sistema operativo (SO).
Dado que los controladores también se usan para actualizar el firmware del hardware, pueden alcanzar componentes que operan a un nivel aún más profundo que está fuera del alcance del sistema operativo y cambiar la forma en que funcionan o bloquearlos.
El BIOS y el firmware UEFI, por ejemplo, son software de bajo nivel que se inicia antes del sistema operativo, cuando enciende la computadora. El malware instalado en este componente es invisible para la mayoría de las soluciones de seguridad y no se puede eliminar reinstalando el sistema operativo.
Investigadores de la firma de seguridad de firmware y hardware Eclypsium descubrieron más de 40 controladores de los que se puede abusar para elevar los privilegios del espacio del usuario a los permisos del kernel.
Los proveedores afectados (la lista está aquí ) incluyen todos los principales proveedores de BIOS y grandes nombres en el negocio de hardware de computadoras como ASUS, Toshiba, Intel, Gigabyte, Nvidia o Huawei.
"Todas estas vulnerabilidades permiten que el controlador actúe como un proxy para realizar un acceso altamente privilegiado a los recursos de hardware, como acceso de lectura y escritura al espacio de E / S del procesador y chipset, Registros específicos de modelo (MSR), Registros de control (CR), Registros de depuración (DR), memoria física y memoria virtual del núcleo ". - Eclypsium
Desde el núcleo, un atacante puede pasar a las interfaces de firmware y hardware, lo que le permite comprometer el host objetivo más allá de las capacidades de detección de los productos normales de protección contra amenazas, que operan a nivel del sistema operativo.
La instalación de controladores en Windows requiere privilegios de administrador y debe ser de partes confiables certificadas por Microsoft. El código también está firmado por autoridades de certificación válidas, para demostrar la autenticidad. A falta de una firma, Windows emite una advertencia al usuario.
Sin embargo, la investigación de Eclypsium se refiere a controladores legítimos con firmas válidas aceptadas por Windows. Estos controladores no están diseñados para ser maliciosos, pero contienen vulnerabilidades que pueden ser abusadas por programas y actores maliciosos.
El malware instalado en estos componentes "podría leer, escribir o redirigir los datos almacenados, mostrados o enviados a través de la red". Además, los componentes podrían deshabilitarse, desencadenando una condición de denegación de servicio en el sistema.
Los ataques que aprovechan los conductores vulnerables no son teóricos. Han sido identificados en operaciones de ciberespionaje atribuidas a hackers bien financiados.
El grupo Slingshot APT utilizó controladores vulnerables más antiguos para elevar los privilegios en computadoras infectadas. El rootkit Lojax de APT28 (también conocido como Sednit, Fancy Bear, Strontium Sofacy) fue más insidioso ya que se alojó en el firmware UEFI a través de un controlador firmado.
Este problema afecta a todas las versiones modernas de Windows y no existe ningún mecanismo a mayor escala para evitar que se carguen los controladores vulnerables.
Un escenario de ataque no se limita a los sistemas que ya tienen instalado un controlador vulnerable. Los actores de amenazas pueden agregarlos específicamente con fines de escalada de privilegios y persistencia.
Las soluciones para mitigar esta amenaza incluyen la exploración periódica de firmware de componentes y sistemas obsoletos, y la aplicación de las últimas correcciones de controladores de los fabricantes de dispositivos para resolver cualquier vulnerabilidad.
A continuación se muestra una lista parcial de proveedores afectados, ya que algunos de los otros todavía están bajo embargo.
American Megatrends International (AMI), ASRock, ASUSTeK Computer, ATI Technologies (AMD), Biostar, EVGA, Getac, GIGABYTE, Huawei, Insyde, Intel,Micro-Star International (MSI), NVIDIA, Phoenix Technologies, Realtek Semiconductor, SuperMicro, Toshiba
Fecha actualización el 2021-08-11. Fecha publicación el 2019-08-11. Categoría: windows Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil