Controladores de Windows Vulnerables
Descubrimiento de Vulnerabilidades en Controladores de Windows
Investigadores han identificado 34 controladores únicos del Modelo de Controladores de Windows (WDM) y del Marco de Trabajo de Controladores de Windows (WDF) que actores malintencionados sin privilegios pueden explotar para obtener el control total de los dispositivos y ejecutar código arbitrario en los sistemas afectados.
Detalles del Descubrimiento
Takahiro Haruyama, investigador principal de amenazas en VMware Carbon Black, explicó que «al explotar estos controladores, un atacante sin privilegios puede borrar o alterar el firmware y/o elevar los privilegios del sistema operativo». Esta investigación amplía estudios previos, como ScrewedDrivers y POPKORN, que utilizaban la ejecución simbólica para automatizar el descubrimiento de controladores vulnerables, enfocándose en aquellos que permiten acceso al firmware a través de I/O de puertos y I/O mapeado en memoria.
Lista de Controladores Vulnerables
Entre los controladores vulnerables se encuentran:
- AODDriver.sys
- ComputerZ.sys
- dellbios.sys
- GEDevDrv.sys
- GtcKmdfBs.sys
- IoAccess.sys
- kerneld.amd64
- ngiodriver.sys
- nvoclock.sys
- PDFWKRNL.sys (CVE-2023-20598)
- RadHwMgr.sys
- rtif.sys
- rtport.sys
- stdcdrv64.sys
- TdkLib64.sys (CVE-2023-35841)
Riesgos de la Toma de Control del Dispositivo
De los 34 controladores, seis permiten acceso a la memoria del kernel, lo que atacantes pueden explotar para elevar privilegios y derrotar soluciones de seguridad. Doce de los controladores permiten a los atacantes subvertir mecanismos de seguridad como la aleatorización del diseño del espacio de direcciones del kernel (KASLR). Siete de los controladores, incluido stdcdrv64.sys de Intel, permiten borrar el firmware en la memoria flash SPI, haciendo que el sistema no pueda arrancar. Intel ya ha emitido una solución para este problema.
Ataques de BYOVD
VMware también identificó controladores WDF, como WDTKernel.sys y H2OFFT64.sys, que no son vulnerables en términos de control de acceso, pero pueden ser fácilmente utilizados por actores malintencionados para llevar a cabo ataques conocidos como «Bring Your Own Vulnerable Driver» (BYOVD). Esta técnica ha sido empleada por diversos adversarios, incluido el Grupo Lazarus vinculado a Corea del Norte, para obtener privilegios elevados y desactivar el software de seguridad en sistemas comprometidos, evadiendo así la detección.
Conclusión
El alcance actual de las API e instrucciones apuntadas por el script IDAPython para automatizar el análisis de código estático de controladores vulnerables x64 es limitado al acceso al firmware. Sin embargo, es fácil extender el código para cubrir otros vectores de ataque, como la terminación de procesos arbitrarios, incrementando así la preocupación sobre las vulnerabilidades en los controladores de Windows.
Recuerda que estaremos publicando constantemente en nuestro blog más contenido sobre tecnología.
Puedes encontrarnos en Facebook y Linkedln para más contenido relacionado con seguridad en internet y muchos temas más.