Los drivers de más de 40 fabricantes de hardware (Intel, AMD, Nvidia, Asus, MSI) son vulnerables

La firma de investigación de seguridad cibernética Eclypsium, publicó un informe titulado Screwed Drivers "Controladores / Drivers atornillados", que relata un fallo crítico en el diseño del software de los controladores de dispositivos modernos de más de 40 fabricantes de hardware. Este fallo permite que el malware obtenga privilegios del Ring 3 al Ring 0 (acceso sin restricciones al hardware).

La larga lista de fabricantes de controladores afectados, que están totalmente firmados y aprobados por Microsoft (Windows) bajo su programa WHQL, incluye grandes nombres como Intel, AMD, Nvidia, AMI, Phoenix, Asus, Toshiba, SuperMicro, Gigabyte, MSI o EVGA. Muchos de los últimos nombres son fabricantes de placas base, los cuales diseñan aplicaciones de monitorización de hardware y overclocking que instalan controladores en modo kernel en Windows para tener acceso al hardware desde el Anillo 0, es decir, el nivel con la mayoría de los privilegios.

Drivers atornillados

Como parte de su estudio, Eclypsium narra tres clases de ataques de escalado de privilegios activos con los controladores de dispositivos: RWEverything, LoJax (primer malware UEFI), y SlingShot.  La explotación de cada una de estas vulnerabilidades se aprovecha de la forma en que Windows continúa trabajando con controladores con certificados firmados defectuosos, obsoletos o caducados.

Eclypsium no ha detallado en profundidad cada vulnerabilidad, pero ha definido brevemente las tres vulnerabilidades en una presentación durante la DEF CON. Por otro lado, la firma está trabajando con varios de los fabricantes mencionados para el lanzamiento de mitigaciones y parches, y por ahora toda esta información está bajo embargo.

  • RWEverything es presentado por Eclypsium como una utilidad para acceder a todas las interfaces de hardware a través del software. Funciona en el espacio de usuario, pero con un controlador firmado RWDrv.sys de modo kernel instalado por una única vez. Actúa como un conducto para que el malware obtenga acceso al Ring 0 del sistema.

Vulnerabilidad RWEverything

  • LoJax es una herramienta que utiliza la librería RWDrv.sys para obtener acceso al controlador de flash SPI en el chipset de la placa base para modificar su UEFI BIOS.

Vulnerabilidad LoJax

  • Slingshot es un APT con su propio controlador malicioso que explota a otros controladores con MSR de lectura/escritura para omitir la aplicación de una firma en los controladores para instalar un rootkit.

Vulnerabilidad Slingshot

Por ahora no hay solución al problema, pero es lógico que esperar que en los próximos días toque una buena ronda de actualizaciones del sistema y aplicaciones.

vía: TechPowerUp

Artículos relacionados