12 ago 2019

Más de 40 drivers de 20 proveedores vulnerables

En la conferencia de seguridad DEFCON 27 en Las Vegas, los investigadores de seguridad de Eclypsium dieron una charla sobre fallas de diseño comunes que encontraron en más de 40 controladores de kernel de 20 proveedores de hardware diferentes.

Los defectos de diseño comunes son que las aplicaciones con pocos privilegios pueden usar funciones de controlador legítimas para ejecutar acciones maliciosas en las áreas más sensibles del sistema operativo Windows, como el kernel de Windows.

"Hay una serie de recursos de hardware a los que normalmente solo se puede acceder mediante software privilegiado como el kernel de Windows y deben protegerse de la lectura / escritura maliciosa de las aplicaciones del espacio de usuario", dijo Mickey Zkatov, investigador principal de Eclypsium. "Las fallas de diseño surgen cuando los controladores firmados brindan una funcionalidad que las aplicaciones de espacio de usuario pueden usar de manera incorrecta para realizar lecturas / escrituras arbitrarias de estos recursos confidenciales sin ninguna restricción o verificación de Microsoft", agregó.
windows driver hacking
Shkatov culpa de los problemas que descubrió a las malas prácticas de codificación, que no tienen en cuenta la seguridad. "Este es un antipatrón de diseño de software común en el que, en lugar de hacer que el controlador solo realice tareas específicas, está escrito de manera flexible para realizar acciones arbitrarias en nombre del espacio de usuario. Es más fácil desarrollar software estructurando controladores y aplicaciones de esta manera, pero abre el sistema para la explotación".

Vendedores afectados

Shkatov dijo que su compañía notificó a cada uno de los proveedores de hardware que enviaban controladores que permitían a las aplicaciones de espacio de usuario ejecutar el código del kernel. Los proveedores que emitieron actualizaciones se enumeran a continuación.
  • American Megatrends International (AMI)
  • ASRock
  • ASUSTeK Computer
  • Tecnologías ATI (AMD)
  • Biostar
  • EVGA
  • Getac
  • GIGABYTE
  • Huawei
  • Insyde
  • Intel
  • Micro-Star International (MSI)
  • NVIDIA
  • Phoenix Technologies
  • Realtek Semiconductor
  • SuperMicro
  • Toshiba
Algunos proveedores, como Intel y Huawei, ya han emitido actualizaciones y otros las irán lanzando en estod días. Sin embargo, el investigador de Eclypsium dijo que no nombró a todos los vendedores afectados, ya que "algunos necesitaban más tiempo debido a circunstancias especiales" y se publicarán futuras soluciones y avisos en el futuro.

El investigador de Eclypsium dijo que planea publicar la lista de controladores afectados y sus hashes en GitHub, después de la charla para que los usuarios y administradores puedan bloquear los controladores afectados.

Además, Shaktov dijo que Microsoft usará su capacidad HVCI (Hypervisor-enforced Code Integrity) para poner en la lista negra los controladores que se les informan.

Sin embargo, Shaktov dijo que la función HVCI solo es compatible con las CPU Intel de séptima generación y en adelante. Se necesitará intervención manual en sistemas más antiguos, e incluso en CPU Intel más nuevas donde HVCI no se puede habilitar.

"Para explotar a los drivers vulnerables, un atacante ya debería haber comprometido la computadora", dijo Microsoft en un comunicado. "Para ayudar a mitigar esta clase de problemas, Microsoft recomienda que los clientes usen el Control de aplicaciones de Windows Defender para bloquear software y controladores vulnerables conocidos. Los clientes pueden protegerse aún más activando la integridad de la memoria para dispositivos capaces en Windows Security. Microsoft trabaja diligentemente con socios de la industria para abordar para revelar vulnerabilidades de forma privada y trabajar juntos para ayudar a proteger a los clientes".

Más detalles en el blog Eclypsium.

Fuente: ZDNet

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!