Recientemente se descubrió una falla de alta gravedad en el controlador HP OMEN. La falla, al que se le ha asignado el identificador, afecta a millones de computadoras para juegos.
Relacionado: El rootkit de Netfilter: Cómo Microsoft firmó un controlador malicioso
CVE-2021-3437 en el controlador HP OMEN
Se puede abusar de la vulnerabilidad para escalar localmente a privilegios de modo kernel., Permitir a los atacantes inhabilitar los productos de seguridad., sobrescribir los componentes del sistema, corromper el sistema operativo, o realizar cualquier operación maliciosa sin impedimentos, Los investigadores de SentinelOne señalaron. Siguiendo este descubrimiento, HP ha lanzado una actualización de seguridad para sus clientes para corregir la falla.. No hay evidencia de que se haya abusado de la falla CVE-2021-3437 en ataques activos. No obstante, parchear sigue siendo crucial.
¿Qué es HP OMEN??
HP OMEN Gaming Hub es un producto de software preinstalado en las computadoras de escritorio y portátiles HP OEN. El software puede controlar y optimizar varias configuraciones, incluida la GPU, velocidades del ventilador, Overclocking de CPU, etc. También se puede utilizar para configurar y ajustar la iluminación en máquinas de juego., así como mouse y teclado.
La vulnerabilidad CVE-2021-3437 proviene del código vulnerable de este software que se ha copiado parcialmente de un controlador de código abierto..
“Bajo el capó de HP OMEN Gaming Hub se encuentra el controlador HpPortIox64.sys, C:\Windows System32 drivers HpPortIox64.sys. Este controlador está desarrollado por HP como parte de OMEN, pero en realidad es una copia parcial de otro controlador problemático, WinRing0.sys, desarrollado por OpenLibSys,SentinelOne reveló.
Parece que se sabe que el controlador WinRing0.sys contiene problemas. Vulnerabilidades en el conductor podría permitir a los usuarios locales, incluidos los procesos de baja integridad, para leer y escribir en ubicaciones de memoria arbitrarias.
En cuanto al controlador HpPortIox64.sys, sus operaciones incluyen lectura / escritura de memoria del kernel, configuraciones PCI de lectura / escritura, leer / escribir puertos IO, y MSR. “Los desarrolladores pueden encontrar conveniente exponer una interfaz genérica de operaciones privilegiadas al modo de usuario por razones de estabilidad manteniendo tanto código como sea posible del módulo del kernel. Los códigos IOCTL 0x9C4060CC, 0x9C4060D0, 0x9C4060D4, 0x9C40A0D8, 0x9C40A0DC y 0x9C40A0E0 permiten aplicaciones en modo de usuario con pocos privilegios de lectura / escritura 1/2/4 bytes hacia o desde un puerto IO. Esto podría aprovecharse de varias formas para, en última instancia, ejecutar código con privilegios elevados.,”Según el informe.
También cabe mencionar que el impacto de la vulnerabilidad depende de la plataforma. Se puede aprovechar para atacar el firmware del dispositivo o realizar un acceso PCI heredado aprovechando los puertos 0xCF8 / 0xCFC.
En términos de impacto general, ya mencionamos que tales vulnerabilidades pueden explotarse para eludir productos de seguridad. Adicionalmente, Los actores de amenazas con acceso a la red de una organización también podrían obtener acceso para ejecutar código en sistemas expuestos y usar estas fallas para obtener la elevación local de privilegios..
Para evitar todo esto suceda, parchear es obligatorio.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: