Numerosas fallas de diseño de controladores de 20 proveedores de hardware diferentes exponen a los usuarios de Microsoft Windows a una amplia gama de amenazas de seguridad que podrían conducir a ataques continuos de malware.
Una especie de Informe Los investigadores de seguridad de Eclypsium presentaron una vulnerabilidad llamada «Controladores atornillados» en DEF CON el fin de semana pasado, instando a Microsoft a respaldar soluciones para protegerse mejor contra tales vulnerabilidades.
Sugirió que Microsoft debería incluir en la lista negra los controladores defectuosos conocidos.
Los investigadores de Eclypsium descubrieron que el problema de los controladores inseguros está muy extendido, con más de 40 controladores de al menos 20 proveedores diferentes que amenazan la seguridad a largo plazo del sistema operativo Windows.
Los controladores de todos los principales proveedores de BIOS tienen fallas de diseño, incluidos los proveedores de hardware Asus, Toshiba, Nvidia y Huawei, según el informe.
El equipo de investigación descubrió el problema de codificación y sus implicaciones más amplias como parte de una investigación de seguridad de hardware y firmware en curso sobre cómo los atacantes pueden abusar de los controladores de software inseguros en los dispositivos.
«Dado que nuestro enfoque principal es la seguridad del hardware y el firmware, era natural que comenzáramos a buscar la herramienta de actualización de firmware de Windows», dijo Mickey Shkatov, investigador principal de Eclypsium.
«Una vez que comenzamos a explorar los controladores utilizados por estas herramientas, encontramos más y más problemas», dijo a E-Commerce Times.
Una falla en el diseño del controlador podría permitir que un atacante eleve los privilegios de los usuarios para que puedan acceder al modo kernel del sistema operativo. Según se informa, la actualización permite a los atacantes usar el controlador como un proxy para obtener acceso altamente privilegiado a los recursos de hardware. Abre acceso de lectura y escritura al espacio de E/S del procesador y del conjunto de chips, registros específicos del modelo (MSR), registros de control (CR), registros de depuración (DR), memoria física y memoria virtual del kernel.
“Microsoft tiene un fuerte compromiso con la seguridad y tiene un historial comprobado de investigación y actualización proactiva de los dispositivos afectados lo más rápido posible. Para una protección óptima, recomendamos usar Windows 10 y el navegador Microsoft Edge”, dijo un vocero de Microsoft en el representante de la compañía. dijo Rachel Tougher en comentarios proporcionados a E-Commerce Times.
Tabla de Contenidos
Medir con cautela
Según Microsoft, un atacante primero tendría que comprometer la computadora para explotar el controlador vulnerable.
Sin embargo, el informe de Eclypsium sugiere que las fallas en el diseño del controlador podrían empeorar la situación. De hecho, pueden hacer que sea más fácil piratear una computadora.
Por ejemplo, cualquier malware que se ejecute en el espacio del usuario podría buscar controladores vulnerables en la máquina de la víctima. Luego, podría usar esto como una forma de obtener un control total sobre el sistema y, potencialmente, el firmware subyacente, según el informe.
Los investigadores reconocieron que se requieren privilegios de administrador para instalar un controlador vulnerable si aún no está en el sistema. No obstante, los controladores que brindan acceso al BIOS del sistema o a los componentes del sistema para ayudar a actualizar el firmware, ejecutar diagnósticos o personalizar las opciones de los componentes pueden permitir que los atacantes usen estas herramientas para elevar los privilegios y permanecer invisibles en el host.
Para ayudar a mitigar esta vulnerabilidad, los usuarios de Windows deben aplicar Control de aplicaciones de Windows Defender Según Microsoft, bloquea software y controladores vulnerables conocidos.
Los clientes pueden protegerse aún más abriendo integridad de la memoria Para dispositivos compatibles, Microsoft también recomienda.
Riesgo probable de bajo a moderado
Las empresas de seguridad estimulan las oportunidades de venta en función de las vulnerabilidades. Los informes como las divulgaciones de Eclypsium son herramientas de ventas, argumenta Rob Enderle, analista principal Grupo Endlery no es raro ver resultados que exageran el problema.
«En este caso, están destacando un controlador vulnerable, que podría permitir que alguien eleve los privilegios y se haga cargo del sistema. Sin embargo, por lo general, un atacante debe ingresar a través de un dispositivo infectado, lo que significa que debe tener acceso físico y con acceso , puedes hacer mucho para comprometer una PC», dijo Endler a E-Commerce Times.
También existe la posibilidad de que los usuarios sean engañados para que instalen malware. Señaló que esto explotaría esta vulnerabilidad del controlador, pero un atacante necesitaría saber que existe para que funcione.
“Dado el entorno hostil en el que nos encontramos y el hecho de que tenemos atacantes de estados-nación, cualquier vulnerabilidad es un problema”, advirtió Enderle. «Sin embargo, debido a la naturaleza intrincada de los vectores de ataque y al hecho de que un ataque efectivo requiere conocimiento de la PC, el riesgo real es de bajo a moderado».
Sin duda, vale la pena vigilar y asegurarse de que las actualizaciones de los controladores aborden estas vulnerabilidades y se apliquen de manera oportuna, agregó.
Influencia generalizada
El proceso de diseño del controlador funciona con todas las versiones modernas de Microsoft Windows. Según el informe, actualmente no existe un mecanismo general para evitar que una máquina con Windows cargue uno de estos controladores defectuosos conocidos.
La aplicación de la política de grupo y otras características específicas de Windows Pro, Windows Enterprise y Windows Server pueden brindar cierta protección a algunos usuarios. Una vez instalados, estos controladores pueden residir en un dispositivo durante mucho tiempo a menos que se actualicen o desinstalen específicamente, dijeron los investigadores.
No son solo los controladores ya instalados en el sistema los que representan un riesgo. El malware puede agregar controladores para realizar una escalada de privilegios y acceder al hardware directamente, advierten los investigadores.
Señalaron que el conductor en cuestión no era un conductor deshonesto o no aprobado. Todos los controladores son de proveedores externos de confianza, firmados por una autoridad de certificación válida y certificados por Microsoft.
Según el informe, tanto Microsoft como los proveedores externos deben estar más atentos a este tipo de vulnerabilidades.
El software de firma no siempre es confiable
Los certificados de firma de código se utilizan para firmar digitalmente aplicaciones, controladores y software.El director de seguridad, Chris Hickman, dijo que el proceso permite a los usuarios finales verificar la autenticidad del editor. el factor clavepero confiar completamente en el software firmado es arriesgado.
«Los atacantes cibernéticos oportunistas pueden comprometer certificados y claves vulnerables entre los productores de software, a menudo plantando malware que explota una vez que se instala una actualización de firmware o software en el sistema de un usuario. Entre ellos está el mayor riesgo de seguridad», dijo a E-Commerce Times.
El descubrimiento de fallas de diseño en los controladores de software por parte de Eclypsium incluye una amplia gama de fabricantes de hardware y socios de software, lo que destaca la amenaza para los usuarios de software comerciales y de consumo, dijo Hickman. Este vector de ataque es como el hack de ASUS de esta primavera.
«Cuando las organizaciones ejecutan actualizaciones estándar y generalmente confiables, los atacantes pueden explotar el código y las credenciales para plantar e implementar malware», señaló.
La firma de código no garantiza que no se introduzca malware en el software. Hickman explicó que se deben tomar otros pasos antes de firmar el código, como la prueba del código y el escaneo de vulnerabilidades.
Después de la firma de código, siempre que el certificado de firma de código sea de una fuente confiable, se instalará como firmado, independientemente del contenido. Por lo tanto, la seguridad, el mantenimiento y el control de los certificados de firma de código deberían ser tan importantes para DevOps como otras formas de garantizar que se produzca un código legítimo, dijo.
Respuesta y arreglo
Según Shkatov, todos los proveedores afectados fueron notificados más de 90 días antes de que Eclypsium programara la divulgación de la vulnerabilidad.
Intel y Huawei notificaron a Eclypsium que publicaron boletines y correcciones. Phoenix e Insyde no publican correcciones directamente a los usuarios finales, sino a sus clientes OEM para su eventual distribución a los usuarios finales.
«Otros dos proveedores nos han dicho que lanzarán una solución, pero aún no tenemos un cronograma específico», dijo Shkatov. «Ocho proveedores reconocieron haber recibido nuestras consultas, pero no hemos escuchado si se lanzarán parches o cualquier cronograma para esos parches. Cinco proveedores no han respondido en absoluto».