Los investigadores de VMware Carbon Black han descubierto una revelación preocupante: 34 Modelo de controlador de Windows único (WDM) y marcos de controladores de Windows (WDF) Los conductores son susceptibles de ser explotados por actores de amenazas no privilegiados.. Las repercusiones son nefastas., permitir que entidades malévolas tomen el control total de los dispositivos y ejecuten código arbitrario en los sistemas subyacentes.
Takahiro Haruyama, investigador senior de amenazas en VMware Carbon Black, arroja luz sobre la gravedad de la situación. “Explotando a los conductores, un atacante sin privilegios puede borrar/alterar el firmware y/o elevar [Sistema operativo] privilegios,” el Advierte, subrayando el potencial de daños sustanciales.
Esta investigación se basa en estudios anteriores como ScrewedDrivers y POPKORN., que empleó la ejecución simbólica para automatizar el descubrimiento de conductores vulnerables. La atención se centra aquí en los controladores que cuentan con acceso al firmware a través de E/S de puerto y E/S asignadas en memoria., ampliar el alcance de la explotación.
CVE-2023-20598: Identificando a los culpables
La lista de conductores vulnerables parece una lista de vigilancia de ciberseguridad. Algunas de las entradas notables incluyen AODDriver.sys, ComputadoraZ.sys, dellbios.sys, GEDevDrv.sys, GtcKmdfBs.sys, IoAccess.sys, kerneld.amd64, ngiodriver.sys, nvoclock.sys, PDFWKRNL.sys (CVE-2023-20598), RadHwMgr.sys, rtif.sys, rtport.sys, stdcdrv64.sys, y TdkLib64.sys (CVE-2023-35841). Estos conductores, una vez comprometido, abrir la puerta de enlace para el acceso no autorizado y la manipulación de componentes críticos del sistema.
Las implicaciones de estas vulnerabilidades, incluido CVE-2023-20598, son profundos. Seis de los 34 Los controladores otorgan acceso a la memoria del kernel., Proporcionar una vía para que los atacantes eleven los privilegios y superen las soluciones de seguridad.. Adicionalmente, Se pueden explotar una docena de controladores para subvertir los mecanismos de seguridad., incluyendo la aleatorización del diseño del espacio de direcciones del kernel (KASLR), una capa de defensa crucial.
Siete conductores, como stdcdrv64.sys de Intel, presentan una amenaza más siniestra: permiten borrar el firmware en la memoria flash SPI, haciendo que todo el sistema no pueda arrancar. Intel ha respondido rápidamente emitiendo una solución para abordar este problema crítico.
Más allá de las vulnerabilidades inmediatas se encuentra una técnica sofisticada conocida como Bring Your Own Vulnerable Driver. (BYOVD). VMware identificó controladores WDF, como WDTKernel.sys y H2OFFT64.sys, cual, aunque no es inherentemente vulnerable en términos de control de acceso, pueden ser utilizados como arma por actores de amenazas privilegiados. Esta táctica ha sido empleada por grupos notorios, incluido el Grupo Lazarus, vinculado a Corea del Norte, para obtener privilegios elevados y desactivar el software de seguridad, evadir eficazmente la detección.
“El alcance actual de las API/instrucciones a las que se dirige la [Script IDAPython para automatizar el análisis de código estático de controladores vulnerables x64] es limitado y solo se limita al acceso al firmware,” advierte Haruyama. Sin embargo, La maleabilidad de esta técnica facilita la extensión del código para cubrir otros vectores de ataque., como poner fin a procesos arbitrarios.
Conclusión
A medida que el panorama digital se vuelve cada vez más complejo, El descubrimiento de estos factores vulnerables subraya el perpetuo juego del gato y el ratón entre los expertos en ciberseguridad y los actores de amenazas.. Parches oportunos, mayor conciencia, y un enfoque proactivo para la seguridad del sistema son esenciales para frustrar amenazas potenciales. La responsabilidad de colaborar recae en la industria, innovar, y manténgase un paso por delante en la batalla en curso por un futuro digital seguro.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: