Un grupo de investigadores detecta vulnerabilidades en más de 40 controladores

0
44

Se trata de fallos de diseño en los ‘drivers, de más de 20 proveedores distintos y que habían sido certificados por Microsoft, que podrían comprometer de forma significativa los sistemas.

Un equipo de investigadores de la firma de seguridad Eclypsium ha descubierto fallos de diseño en más de 40 controladores de al menos 20 proveedores distintos que habían sido previamente certificados por Microsoft. Estos errores podrían ser explotados de forma que se abriese la puerta a un ataque de escalada de privilegios.

Así lo explica en un informe la compañía, en el que revelan que entre las empresas cuyos drivers están afectados están firmas de la talla de Intel, Huawei, NVIDIA o Toshiba. Además, algunos de los proveedores afectados por este descubrimiento todavía no se han revelado debido a, indican, su trabajo en entornos altamente regulados. A estos les llevará más tiempo tener una solución certificada y lista para implementarse.

Los investigadores ponen énfasis en que todos los controladores provienen de proveedores externos de confianza, firmados por autoridades de certificación válidas y certificados por Microsoft, por lo que llaman a las compañías a mejorar sus mecanismos de detección de este tipo de vulnerabilidades.

Según se detalla en el informe de Eclypsium, las vulnerabilidades descubiertas permiten que el controlador actúe como un proxy, a través del cual acceder a los recursos de hardware. El atacante podría pasar del modo usuario al kernel o núcleo del sistema operativo, y favorecer el tipo de incidente conocido como escalada de privilegios. Con el acceso al kernel, el atacante no solo puede controlar el sistema operativo sino también las interfaces de hardware y firmware con privilegios aún mayores, como el firmware del BIOS, el sistema básico de entrada-salida.

De este modo, cualquier malware que consiga instalarse podría aprovechar uno de estos controladores vulnerables para ganar control sobre el sistema. Esto solo puede darse en los casos en los que el controlador está ya instalado; de no ser así, el atacante necesitaría privilegios de administrador para poder introducir un driver de los afectados a través del cual explotar la vulnerabilidad.

Al aprovechar esta brecha, el usuario podría tener también acceso a los anillos de firmware que se encuentran debajo del sistema operativo o a otros componentes como tarjetas gráficas o discos duros. De este modo, dicen los investigadores, el malware empleado para realizar el ataque permanece incluso aunque se reinstale el sistema operativo.

Los incidentes afectan a todas las versiones modernas de Microsoft Windows, y actualmente no existe un mecanismo universal para evitar que se ejecuten los drivers afectados, concluyen.

IDG.es