34 Modelos WDM Y WDF Vulnerables: Proteja sus dispositivos
En una revelación significativa, los expertos en seguridad han descubierto un número considerable de controladores Windows Driver Model (WDM) y Windows Driver Frameworks (WDF) con vulnerabilidades potenciales que podrían ser explotadas por actores maliciosos. Estos controladores, en caso de verse comprometidos, podrían permitir a atacantes sin acceso privilegiado tomar el control de dispositivos y ejecutar código no autorizado en los sistemas afectados. En este blog, profundizaremos en los detalles de modelos WDM y WDF vulnerablesexplorando los riesgos potenciales y cómo mitigarlos.
El riesgo del control no autorizado de dispositivos
El investigador de seguridad Takahiro Haruyama, de VMware Carbon Black, ha sacado a la luz un problema crítico. Los investigadores de seguridad de investigadores de seguridad han descubierto una vulnerabilidad crítica que conduce a una potencial toma de control de dispositivos en varios sistemas. Al explotar estos controladores vulnerables, los atacantes pueden obtener acceso no autorizado al firmware y elevar sus privilegios dentro del sistema operativo. Este alarmante descubrimiento se basa en estudios anteriores, como ScrewedDrivers y POPKORN, que emplearon la ejecución simbólica para identificar sistemáticamente los puntos débiles de los controladores.
Centrarse en los controladores de acceso al firmware
Los expertos en seguridad han identificado una amenaza importante, en la que los atacantes pueden lograr un compromiso total del dispositivoponiendo potencialmente en riesgo datos sensibles. La investigación se centró principalmente en los controladores que proporcionan acceso al firmware a través de E/S de puerto y E/S mapeadas en memoria. De los 34 controladores controladores vulnerablesalgunos de los más destacados son:
- AODDriver.sys
- ComputerZ.sys
- dellbios.sys
- GEDevDrv.sys
- GtcKmdfBs.sys
- IoAccess.sys
- kerneld.amd64
- Ngiodriver.sys
- Nvoclock.sys
- PDFWKRNL.sys (CVE-2023-20598)
- RadHwMgr.sys
- rtif.sys
- Rtport.sys
- stdcdrv64.sys
- TdkLib64.sys (CVE-2023-35841)
Vulnerabilidades de acceso a la memoria del núcleo
Especialmente preocupante es que seis de los controladores identificados permiten acceder a la memoria del kernel. Esto significa que los atacantes podrían elevar sus privilegios, eludir las soluciones de seguridad y, potencialmente, subvertir mecanismos de seguridad como la aleatorización de la disposición del espacio de direcciones del núcleo (KASLR). Esto hace que las vulnerabilidades sean más que teóricas.
Riesgos de seguridad en los modelos WDM y WDF
Lo más preocupante es que siete de los controladores identificados, incluido stdcdrv64.sys de Intel, pueden utilizarse para borrar el firmware almacenado en la memoria flash SPI. Tal acción puede hacer que todo el sistema no arranque, lo que supone un riesgo significativo para los datos del usuario y la funcionalidad del sistema. Afortunadamente, Intel ya ha publicado una solución para solucionar este problema.
Vulnerabilidad de los modelos WDM y WDF: Una amenaza potencial
Sin limitarse a los controladores WDM, ciertos controladores WDF, como WDTKernel.sys y H2OFFT64.sys, aunque no son intrínsecamente vulnerables en términos de control de acceso, podrían ser utilizados como armas por actores de amenazas con privilegios. Pueden explotar estos controladores para ejecutar un ataque "Bring Your Own Vulnerable Driver" (BYOVD). Grupos maliciosos, como el Grupo Lazarusvinculado a Corea del Norte, han utilizado esta técnica para obtener privilegios elevados, desactivar el software de seguridad en los terminales comprometidos y evitar ser detectados.
Ampliar el ámbito de análisis
Takahiro Haruyama subraya que, aunque la investigación actual se centra principalmente en el acceso al firmware, el análisis podría ampliarse fácilmente para cubrir otros vectores de ataque. Por ejemplo, podría ampliarse para terminar procesos arbitrarios. Esto subraya la naturaleza dinámica de las vulnerabilidades de los controladores, que requiere una vigilancia constante para mantener la seguridad.
Proteger sus dispositivos
Comprender los riesgos potenciales que plantean estos controladores vulnerables es esencial para protegerse contra vulnerabilidades de los dispositivos de red. He aquí algunas medidas que puede tomar para la protección de sus sistemas:
- Manténgase informado: Mantente al día de las últimas alertas de seguridad y parches para tus controladores y sistema operativo.
- Actualice sus controladores: Actualice regularmente sus controladores para asegurarse de que dispone de los últimos parches de seguridad y correcciones de errores.
- Implante soluciones de seguridad: Utiliza software de seguridad fiable para proteger tus dispositivos de posibles amenazas.
- Haga una copia de seguridad de sus datos: Haz copias de seguridad periódicas de tus datos importantes para evitar la pérdida de datos en caso de fallo del sistema.
- Tenga cuidado: Tenga cuidado al descargar e instalar controladores de fuentes no verificadas. Cíñase a los sitios web oficiales y fuentes de confianza.
- Informar sobre vulnerabilidades: Si te encuentras con alguna vulnerabilidad potencial de los controladores, infórmalo a las autoridades o proveedores pertinentes para ayudar a mejorar la seguridad general.
Conclusión
En conclusión, el descubrimiento de modelos WDM y WDF vulnerables es un claro recordatorio de la constante evolución del panorama de las amenazas. Proteger sus dispositivos de posibles amenazas requiere un enfoque proactivo y vigilante. Manteniéndose informado, actualizando los controladores e implantando soluciones de seguridadpuede reducir el riesgo de que sus dispositivos sean víctimas de estas vulnerabilidades de seguridad. Recuerde que la seguridad de su dispositivo está en sus manos, así que tome las medidas necesarias para mantenerlo protegido.
Las fuentes de este artículo incluyen artículos en The Hacker News y IS.PAGE.