DEF CON
Enviado por deyseemecheetan • 12 de Agosto de 2019 • Apuntes • 675 Palabras (3 Páginas) • 75 Visitas
DEF CON
En la conferencia de seguridad DEF CON 27 en Las Vegas, investigadores de seguridad de todo el mundo compartieron algunas de las hazañas más condenatorias de la industria. Uno de estos informes provino de investigadores de Eclypsium que revelaron fallas de diseño en más de 40 controladores de kernel de 20 proveedores diferentes que podrían afectar a millones de usuarios de Windows.
“Los controladores que brindan acceso al BIOS del sistema o los componentes del sistema con el fin de actualizar el firmware, ejecutar diagnósticos o personalizar las opciones en el componente pueden permitir a los atacantes convertir las herramientas utilizadas para administrar un sistema en amenazas poderosas que pueden escalar privilegios y persistir de manera invisible en el host ", escribieron los investigadores. Agregaron que "el problema de los controladores inseguros está muy extendido", ya que al menos afecta a más de 40 controladores de diferentes proveedores.
Relacionado
AMD prepara la GPU Navi 23 de gama alta "NVIDIA Killer" para el buque insignia Radeon RX, alega rumores: llega el próximo año con soporte de trazado de rayos
Estos incluyen "todos los principales proveedores de BIOS, así como proveedores de hardware como ASUS, Toshiba, NVIDIA y Huawei".
Pero la razón por la cual este es un problema tan extendido tiene que ver con Microsoft, los investigadores de Eclypsium dijeron: "todos los controladores vulnerables que descubrimos han sido certificados por Microsoft". Agregaron que un controlador vulnerable puede proporcionar a un atacante "privilegios incorrectamente elevados" y se han comprometido con Microsoft para protegerse mejor contra estas vulnerabilidades tomando medidas como poner en la lista negra los controladores defectuosos conocidos.
La preocupación aquí es que debido a que estos controladores han sido firmados o certificados por Autoridades de Certificación válidas, no pueden considerarse como delincuentes. Los entregan proveedores externos de confianza y están certificados por Microsoft. "Estos problemas se aplican a todas las versiones modernas de Microsoft Windows y actualmente no existe un mecanismo universal para evitar que una máquina Windows cargue uno de estos controladores defectuosos conocidos", señaló la investigación. "La implementación de políticas grupales y otras características específicas de Windows Pro, Windows Enterprise y Windows Server pueden ofrecer cierta protección a un subconjunto de usuarios".
Una vez instalados, estos controladores pueden residir en un dispositivo durante largos períodos de tiempo a menos que se actualicen o desinstalen específicamente. Además de los controladores que ya están instalados en el sistema, el malware puede traer cualquiera de estos controladores junto con ellos para realizar la escalada de privilegios y obtener acceso directo al hardware.
Los investigadores recomendaron tanto a Microsoft como a los proveedores externos que estén más atentos con este tipo de vulnerabilidades.
En respuesta, Microsoft emitió una declaración que decía "un atacante debería haber comprometido la computadora" para explotar los controladores vulnerables. La compañía agregó que los clientes deberían usar el Control de aplicaciones de Windows Defender para bloquear vulnerabilidades conocidas.
“Para ayudar a mitigar esta clase de problemas, Microsoft recomienda que los clientes usen el Control de aplicaciones de Windows Defender para bloquear software y controladores vulnerables conocidos. Los clientes pueden protegerse aún más activando la integridad de la memoria para dispositivos con capacidad en Seguridad de Windows. Microsoft trabaja diligentemente con socios de la industria para tratar de revelar vulnerabilidades de forma privada y trabajar juntos para ayudar a proteger a los clientes ".
Los proveedores afectados incluyen ASRock, ASUSTeK Computer, ATI Technologies (AMD), Biostar, EVGA, Getac, GIGABYTE, Huawei, Insyde, Intel, Micro-Star International (MSI), NVIDIA, Phoenix Technologies, Realtek Semiconductor, SuperMicro y Toshiba. Pero la lista no termina aquí. Algunos de los proveedores aún no han sido nombrados ya que su trabajo se realiza en "entornos altamente regulados y tomará más tiempo tener una solución certificada y lista para implementarse en los clientes", agregaron los investigadores. También agregaron que Microsoft usará su capacidad HVCI (Integridad de Código aplicada por el hipervisor) para incluir en la lista negra los controladores que se informan a la compañía. Sin embargo, la función HVCI solo es compatible con las CPU Intel de 7a generación y más recientes.
...