Modern technology gives us many things.

Controladores de Windows 10 contienen vulnerabilidades.

 

40 controladores de Windows 10 contienen vulnerabilidades según los los investigadores de la firma de ciberseguridad Eclypsium en la conferencia DEF CON de Las Vegas.

Los investigadores de la firma de ciberseguridad Eclypsium compartieron sus hallazgos que indican que más de 40 controladores diferentes de 20 proveedores de hardware contenían un código deficiente que podría explotarse para montar un ataque de escalada de privilegios. Aún más preocupante, todos estos controladores habían sido certificados por Microsoft.

Las vulnerabilidades de los drivers de microsoft incluye a los principales proveedores de BIOS

La lista de compañías afectadas incluye a los principales proveedores de BIOS, así como a fabricantes de hardware como ASUS, Huawei, Intel, NVIDIA y Toshiba. Eclypsium también advirtió que estos controladores afectaron a todas las versiones de Windows, lo que significa que millones de usuarios podrían estar en riesgo.

El riesgo que representan estos controladores es que pueden permitir que una aplicación maliciosa a nivel de usuario obtenga privilegios de kernel, obteniendo así acceso directo al firmware y al hardware en sí. Esto también podría significar que el malware podría instalarse directamente en el firmware y, por lo tanto, incluso reinstalar el sistema operativo no sería suficiente para deshacerse de él.

Eclypsium explica el funcionamiento de estas vulnerabilidades de la siguiente manera:

Todas estas vulnerabilidades permiten que el controlador actúe como un proxy para realizar un acceso altamente privilegiado a los recursos de hardware, como acceso de lectura y escritura al espacio de E / S del procesador y del conjunto de chips, registros específicos del modelo (MSR), registros de control (CR), depuración Registros (DR), memoria física y memoria virtual del núcleo. Esta es una escalada de privilegios, ya que puede mover a un atacante del modo usuario (Anillo 3) al modo kernel del sistema operativo (Anillo 0). El concepto de anillos de protección se resume en la imagen a continuación, donde cada anillo interno se otorga progresivamente más privilegio. Es importante tener en cuenta que incluso los administradores operan en Ring 3 (y no más profundo), junto con otros usuarios. El acceso al kernel no solo puede proporcionar a un atacante el acceso más privilegiado disponible para el sistema operativo,

Una aplicación maliciosa solo necesitaría buscarlo para elevar los privilegios

Dado que los controladores son a menudo el medio para actualizar el firmware, «el controlador proporciona no sólo los privilegios necesarios, sino también el mecanismo para realizar cambios», señaló Eclypsium. Si un controlador vulnerable ya está presente en el sistema, una aplicación maliciosa solo necesitaría buscarlo para elevar los privilegios. Sin embargo, si el controlador no está presente, una aplicación maliciosa podría traerlo pero requeriría la aprobación del administrador para instalar los controladores.

En una declaración a ZDNet, el investigador principal de Eclypsium, Mickey Shkatov, señaló que «Microsoft utilizará su capacidad HVCI (Integridad de Código aplicada por el hipervisor) para poner en la lista negra los controladores que se les informan». Sin embargo, la función solo está disponible en los procesadores Intel de 7a generación y posteriores y, por lo tanto, los controladores tendrían que desinstalarse manualmente en el caso de las CPU más antiguas o incluso las más nuevas donde HCVI está desactivado.

Microsoft aclaró más: «Para explotar los controladores vulnerables, un atacante debería haber comprometido la computadora». Sin embargo, el problema aquí es el hecho de que un atacante que ha comprometido el sistema en el Anillo 3 en la representación anterior de los niveles de privilegio, podría obtener acceso al núcleo.

Para protegerse de los malos controladores

Para protegerse de los malos controladores, Microsoft recomienda a los usuarios que utilicen «Control de aplicaciones de Windows Defender para bloquear software y controladores vulnerables conocidos». También declaró: «Los clientes pueden protegerse aún más activando la integridad de la memoria para dispositivos con capacidad en Seguridad de Windows».

Eclypsium tiene una lista completa de todos los proveedores que ya han actualizado sus controladores en su publicación de blog relacionada con el asunto, aunque señala que algunos de los proveedores afectados aún no han sido nombrados ya que todavía están trabajando para proporcionar soluciones. Sus investigadores también subirán una lista de los controladores afectados y sus hashes en GitHub más tarde para que los usuarios puedan desactivarlos manualmente si los tienen en su dispositivo.

Controladores de Windows 10 contienen vulnerabilidades. – MelSystems.es

Fuente: Eclypsium  a través de ZDNet

Deja tu comentario...

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

error: Contenido protegido !!