Controladores de Windows son vulnerables a la instalación de Backdoors persistentes

Más de 40 controladores de Windows de al menos 20 proveedores diferentes tienen vulnerabilidades que podrían permitir a un atacante la instalación de Backdoor persistentes y ocultar el malware de manera indefinida, a veces durante años, asegura en un informe la firma Eclypsium.

Mantener la persistencia después de comprometer un sistema es una de las tareas más importantes en los ciberataques más sofisticados. Para lograrlo, las vulnerabilidades de hardware juegan un papel importante. La reportada por la compañía especializada en seguridad de firmware y hardware es una de ellas. Y bien gorda.  

Componentes particularmente problemáticos son los controladores de dispositivos. Comúnmente conocidos como controladores de hardware o drivers, son programas de software que controlan un tipo particular de dispositivo (tarjetas gráficas, de red, de comunicaciones, discos duros y muchos otros) ayudando a comunicarse correctamente con el sistema operativo de la computadora. Pequeños en tamaño, su importancia es máxima en un PC. 

Dado que los controladores de dispositivos se encuentran entre el hardware y el sistema operativo en sí y, en la mayoría de los casos, tienen acceso privilegiado al núcleo del sistema operativo, una debilidad de seguridad en este componente puede conducir a la ejecución de código en la capa del núcleo.

Este ataque de escalada de privilegios puede mover a un atacante del modo de usuario (Anillo 3) al modo kernel del sistema operativo (Anillo 0), como se muestra en la imagen, lo que le permite instalar una puerta trasera persistente en el sistema y oculta al usuario. 

Las vulnerabilidades reportadas podrían permitir la lectura / escritura arbitraria de la memoria del núcleo, los registros específicos del modelo (MSR), los Registros de control (CR), los Registros de depuración (DR) y la memoria física. Más allá aún:  «El acceso al kernel no solo puede brindarle a un atacante el acceso más privilegiado disponible para el sistema operativo, sino que también puede otorgar acceso a las interfaces de hardware y firmware con privilegios aún mayores, como el firmware del BIOS del sistema«.

Controladores de Windows – Proveedores afectados

Más de 40 controladores de Windows de al menos 20 proveedores diferentes han sido listados como vulnerables por Eclypsium. Todos ellos habían sido certificados por Microsoft para su uso en Windows. Los investigadores han informado previamente de estas vulnerabilidades a los proveedores afectados:

• American Megatrends International (AMI)
• ASRock
• ASUSTeK Computer
• ATI Technologies (AMD)
• Biostar
• EVGA
• Getac
• GIGABYTE
• Huawei
• Insyde
• Intel
• Micro-Star International (MSI)
• NVIDIA
• Phoenix Technologies
• Realtek Semiconductor
• SuperMicro
• Toshiba

Algunos de ellos, incluidos Intel y Huawei, ya han publicado parches de software y han emitido alertas de seguridad. No se ha hecho público el nombre de otros tres proveedores de hardware, ya que «todavía están bajo embargo debido a su trabajo en entornos altamente regulados y tomará más tiempo tener una solución certificada y lista para implementar en los clientes», explicaron los investigadores.

La cuestión es bien gorda teniendo en cuenta los proveedores afectados y la importancia de los controladores de Windows que gestionan centenares de millones de componentes de todo tipo. No se conocen exploits que hayan aprovechado estas vulnerabilidades, lo que no quiere decir que no existan o hayan existido. La importancia de mantener actualizados sistemas, aplicaciones y controladores es crítica, una vez más.

De hecho, los investigadores han prometido lanzar un script en GitHub que ayudaría a los usuarios a encontrar potenciales Backdoors instalados en los controladores de sus equipos, junto con una prueba de concepto, demostraciones en vídeo y enlaces a controladores y herramientas vulnerables.

Más información | Eclypsium – Presentación en DEF CON