Más de 40 drivers de 20 proveedores vulnerables
Los defectos de diseño comunes son que las aplicaciones con pocos privilegios pueden usar funciones de controlador legítimas para ejecutar acciones maliciosas en las áreas más sensibles del sistema operativo Windows, como el kernel de Windows.
"Hay una serie de recursos de hardware a los que normalmente solo se puede acceder mediante software privilegiado como el kernel de Windows y deben protegerse de la lectura / escritura maliciosa de las aplicaciones del espacio de usuario", dijo Mickey Zkatov, investigador principal de Eclypsium. "Las fallas de diseño surgen cuando los controladores firmados brindan una funcionalidad que las aplicaciones de espacio de usuario pueden usar de manera incorrecta para realizar lecturas / escrituras arbitrarias de estos recursos confidenciales sin ninguna restricción o verificación de Microsoft", agregó.
Vendedores afectados
Shkatov dijo que su compañía notificó a cada uno de los proveedores de hardware que enviaban controladores que permitían a las aplicaciones de espacio de usuario ejecutar el código del kernel. Los proveedores que emitieron actualizaciones se enumeran a continuación.- American Megatrends International (AMI)
- ASRock
- ASUSTeK Computer
- Tecnologías ATI (AMD)
- Biostar
- EVGA
- Getac
- GIGABYTE
- Huawei
- Insyde
- Intel
- Micro-Star International (MSI)
- NVIDIA
- Phoenix Technologies
- Realtek Semiconductor
- SuperMicro
- Toshiba
El investigador de Eclypsium dijo que planea publicar la lista de controladores afectados y sus hashes en GitHub, después de la charla para que los usuarios y administradores puedan bloquear los controladores afectados.
Además, Shaktov dijo que Microsoft usará su capacidad HVCI (Hypervisor-enforced Code Integrity) para poner en la lista negra los controladores que se les informan.
Sin embargo, Shaktov dijo que la función HVCI solo es compatible con las CPU Intel de séptima generación y en adelante. Se necesitará intervención manual en sistemas más antiguos, e incluso en CPU Intel más nuevas donde HVCI no se puede habilitar.
"Para explotar a los drivers vulnerables, un atacante ya debería haber comprometido la computadora", dijo Microsoft en un comunicado. "Para ayudar a mitigar esta clase de problemas, Microsoft recomienda que los clientes usen el Control de aplicaciones de Windows Defender para bloquear software y controladores vulnerables conocidos. Los clientes pueden protegerse aún más activando la integridad de la memoria para dispositivos capaces en Windows Security. Microsoft trabaja diligentemente con socios de la industria para abordar para revelar vulnerabilidades de forma privada y trabajar juntos para ayudar a proteger a los clientes".
Más detalles en el blog Eclypsium.
Fuente: ZDNet
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!