Este fin de semana ha tenido lugar la conferencia
DEFCON 2019, uno de los eventos más importantes para todos los expertos en seguridad informática del mundo. Esta cita anual llega cargada de decenas de descubrimientos,
exploits y herramientas con el potencial para hacer
el mal (en ocasiones de la forma más singular, como el
secuestro de cámaras DSLR con ransomware), pero también para evidenciar que siempre se puede hacer más para proteger a los usuarios finales.
En la edición de este año, investigadores de la firma
Eclypsium desvelaron que durante un análisis de los controladores de 20 fabricantes distintos encontraron más de 40 vulnerabilidades graves. El fallo reside de forma más concreta en sus drivers kérnel para Windows, que como indica su nombre tienen acceso directo a las funciones internas del sistema operativo y/o el hardware.
Según la información proporcionada por Eclypsium (presentación en PDF
aquí), estos fallos derivan de malas prácticas a la hora de programar. "En lugar de hacer un controlador solo para realizar acciones específicas, está escrito de forma flexible para realizar acciones arbitrarias [...] Es más fácil desarrollar software estructurando controladores y aplicaciones de esta forma, pero deja abierto el sistema para que alguien lo explote", señala la descripción. Es así como un atacante puede aprovecharse de ellos para lanzar acciones maliciosas.
En total hay 20 compañías afectadas. Eclypsium ha facilitado una lista parcial, puesto que algunas de ellas "trabajan en entornos altamente regulados" y necesitarán más tiempo antes de hacer públicas sus vulnerabilidades.
- ASRock
- ASUSTeK Computer
- ATI Technologies (AMD)
- Biostar
- EVGA
- Getac
- GIGABYTE
- Huawei
- Insyde
- Intel
- Micro-Star International (MSI)
- NVIDIA
- Phoenix Technologies
- Realtek Semiconductor
- SuperMicro
- Toshiba
Más adelante Eclypsium también publicará los
hashes de los drivers concretos en GitHub para facilitar su bloqueo. Algunas firmas como Intel y Huawei ya han lanzado sus propias actualizaciones, mientras que Phoenix e Insyde trabajan en ofrecer a sus clientes OEM los parches necesarios, señala
ZDNet. Así las cosas, los usuarios precavidos deberían actualizar sus drivers a la última versión, especialmente si la última fecha de lanzamiento es muy reciente (Nvidia, precisamente, señaló hace apenas unos días que era recomendable instalar la versión más reciente de sus controladores para evitar problemas de seguridad).
El uso de drivers kérnel defectuosos como los detectados permite ejecutar acciones de lectura y escritura sin restricciones o comprobaciones por parte del sistema operativo. Puesto que no es del todo extraño que los usuarios descarguen sus controladores desde sitios no oficiales (porque la página de descargas del fabricante no es fácilmente accesible y sitios externos ofrecen sus propias compilaciones mejor posicionadas en las búsquedas, por ejemplo), eliminarlos de raíz no es algo fácil.
El acceso a kérnel abre todo tipo de puertas a posibles atacantes. Un ejemplo muy simple sería permitir que aplicaciones con privilegios de usuario se ejecuten en modo kérnel. Eclypsium señala que un atacante con los recursos suficientes podría incluso instalar implantes a nivel de
firmware, creando una amenaza permanente imposible de eliminar con un simple formateo (aunque un ataque de este nivel no es algo precisamente trivial).
Para que un atacante pueda iniciar la secuencia de eventos es necesario instalar los drivers con privilegios de administrador, algo relativamente sencillo si se engatusa al usuario o este no toma las precauciones adecuadas. Algunas medidas preventivas incluyen el uso de protecciones como Windows Defender, que puede detectar algunos drivers defectuosos, y la tecnología HVCI en el caso de los procesadores recientes de Intel, que también puede bloquear controladores problemáticos.
Fuente: Eclypsium