Esta vulnerabilidad de Dell aún permite ataques a nivel de kernel en Windows
En mayo de 2021, se reveló y corrigió un conjunto de cinco vulnerabilidades en los controladores de computadoras Dell. Las vulnerabilidades fueron identificadas colectivamente como CVE-2021-21551 después de que permanecieron explotables durante 12 años.
Sin embargo, la solución de Dell no fue lo suficientemente completa como para evitar una explotación adicional. Y, como advierten ahora los investigadores de seguridad, es un candidato excelente para futuros ataques de Bring Your Own Vulnerable Driver (BYOVD).
“Descubrimos que la actualización de Dell no solucionó la condición de escribir qué y dónde, sino que sólo limitó el acceso a los usuarios administrativos. Según la definición de límites de seguridad de Microsoft, la solución de Dell eliminó el problema de seguridad”.
Jake Baines, investigador de Rapid7.
Sin embargo, el controlador parcialmente reparado todavía puede ayudar a los atacantes.
¿Qué es BYOVD?
BYOVD es la abreviatura de ” Bring Your Own Vulnerable Driver”. Es una técnica de ataque en la que los ciberdelincuentes instalan un controlador legítimo pero vulnerable en una máquina objetivo.
Este controlador vulnerable se aprovecha para elevar los privilegios o ejecutar código en el sistema de destino.
Es una técnica conocida que se ha utilizado ampliamente en el entorno durante muchos años. Desafortunadamente, a pesar de que Microsoft ha intentado mitigar el problema con reglas más estrictas de Windows DSE (Driver Signature Enforcement), el problema persiste.
Hay al menos cuatro exploits de código abierto que permiten a los ciberdelincuentes subir controladores sin firmar en el kernel de Windows. Y, uno de ellos, KDU, admite más de 14 opciones de controladores.
Basándose solo en eso, y sin siquiera tener en cuenta las herramientas personalizadas creadas por ciberdelincuentes sofisticados y utilizadas de forma privada y exclusiva, queda claro que BYOVD es una amenaza permanente.
La vulnerabilidad de Dell
El controlador ‘dbutil_2_3.sys‘ de Dell, que es el controlador vulnerable a CVE-2021-21551, puede facilitar los ataques BYOVD. Tal como advierten los investigadores de Rapid7, esto también se aplica a las versiones recientes del controlador.
La condición de escribir en qué lugar persiste en dbutildrv2.sys 2.5 y 2.7. Por lo tanto, los atacantes tienen un total de tres candidatos a controladores firmados para la ejecución del código del kernel.
Para explotar la vulnerabilidad, los ciberdelincuentes necesitan privilegios de administrador, lo que puede hacer que sea una tontería preocuparse por esta vulnerabilidad.
Sin embargo, los ciberdelincuentes avanzados pueden usar esta vulnerabilidad para ejecutar código en modo kernel, o anillo 0, que es el nivel de privilegio más alto posible en Windows.
Con este nivel de acceso, los atacantes pueden implementar rootkits UEFI, ocultar la explotación y los artefactos de rootkit, o ejecutar casi cualquier comando que deseen en Windows. En última instancia, los atacantes avanzados pueden realizar ataques que son altamente resistentes a la detección. Esto les permite permanecer ocultos en los dispositivos durante meses, si no más.
