Más de 40 controladores podrían permitir que los ciberdelincuentes instalen Backdoors persistentes en Windows
Si posees un dispositivo o un componente de hardware, fabricado por ASUS, Toshiba, Intel, NVIDIA, Huawei u otros 15 proveedores mencionados más abajo, probablemente estés afectado.
Un equipo de investigadores de seguridad descubrió vulnerabilidades de seguridad de alto riesgo en más de 40 controladores de al menos 20 proveedores diferentes que, podrían permitir a los atacantes obtener el permiso más privilegiado en el sistema y ocultar el malware de una manera que no se detecta con el tiempo, a veces durante años. .
Para los atacantes sofisticados, mantener la persistencia después de comprometer un sistema es una de las tareas más importantes, y para lograr esto, las vulnerabilidades de hardware existentes a veces juegan un papel importante.
Controlador de Hardware
Uno de esos componentes es un controlador de dispositivo, comúnmente conocido como controlador o controlador de hardware, un programa de software que controla un tipo particular de dispositivo de hardware, ayudándote a comunicarte correctamente con el sistema operativo de la computadora.
Dado que los controladores de dispositivos se encuentran entre el hardware y el sistema operativo en sí y, en la mayoría de los casos, tienen acceso privilegiado al núcleo del sistema operativo, una falla de seguridad en este componente puede conducir a la ejecución de código en la capa del kernel.
Este ataque de escalada de privilegios puede mover a un atacante del modo de usuario (Ring 3) al modo kernel del sistema operativo (Ring 0), como se muestra en la imagen, lo que le permite instalar una puerta trasera persistente en el sistema que un usuario probablemente nunca detectaría.
Descubiertos por investigadores de la firma de seguridad de firmware y hardware Eclypsium, algunas de las nuevas vulnerabilidades podrían permitir la lectura/escritura arbitraria de la memoria del kernel, los registros específicos del modelo (MSR), los Registros de control (CR), los Registros de depuración (DR) y la memoria física .
“Todas estas vulnerabilidades permiten que el controlador actúe como un proxy para realizar un acceso altamente privilegiado a los recursos de hardware, lo que podría permitir a los atacantes convertir las herramientas utilizadas para administrar un sistema en amenazas poderosas, que pueden escalar privilegios y persistir de manera invisible en el host,” Explican los investigadores en su informe titulado ‘Screwed Drivers’.
“El acceso al kernel no solo puede brindarle a un atacante el acceso más privilegiado disponible para el sistema operativo, sino que también puede otorgar acceso a las interfaces de hardware y firmware con privilegios aún mayores, como el firmware del BIOS del sistema”.
Controladores vulnerables
Dado que el malware que se ejecuta en el espacio del usuario, este puede simplemente buscar un controlador vulnerable en la máquina víctima para comprometerla, los atacantes no tienen que instalar su propio controlador vulnerable, dado que instalación de este requeriría privilegios de administrador del sistema.
Todos los controladores vulnerables, como se muestran a continuación, descubiertos por los investigadores, han sido certificados por Microsoft.
- American Megatrends International (AMI)
- ASRock
- ASUSTeK Computer
- ATI Technologies (AMD)
- Biostar
- EVGA
- Getac
- GIGABYTE
- Huawei
- Insyde
- Intel
- Micro-Star International (MSI)
- NVIDIA
- Phoenix Technologies
- Realtek Semiconductor
- SuperMicro
- Toshiba
La lista también incluye tres proveedores de hardware más que los investigadores aún no mencionaron, ya que “todavía están bajo revisión debido a su trabajo en entornos altamente regulados y tomará más tiempo tener una solución certificada y lista para implementar en los clientes”.
“Algunos controladores vulnerables interactúan con tarjetas gráficas, adaptadores de red, discos duros y otros dispositivos”, explican los investigadores. “El malware persistente dentro de estos dispositivos podría leer, escribir o redirigir los datos almacenados, mostrados o enviados a través de la red. Del mismo modo, cualquiera de los componentes podría desactivarse como parte de un ataque DoS o ransomware”.
Nivel de riesgo
Las fallas de los controladores del dispositivo pueden ser más peligrosas que otras vulnerabilidades de aplicaciones, porque le permite al atacante acceder a los anillos de firmware “negativos” que se encuentran debajo del sistema operativo y mantener la persistencia en el dispositivo, incluso si el sistema operativo es completamente reinstalado, como en el caso del malware LoJax.
Los investigadores han informado de estas vulnerabilidades a los proveedores afectados, de los cuales algunos, incluidos Intel y Huawei, ya han publicado actualizaciones de parches y emitieron un aviso de seguridad.
Además de esto, los investigadores también han prometido lanzar pronto un script en GitHub, esto ayudaría a los usuarios a encontrar controladores con malware instalado en sus sistemas, junto con pruebas de concepto, demostraciones de video, enlaces a controladores y herramientas vulnerables.
