Descubren la vulnerabilidad ‘Screwed Drivers’ que afecta a todos los drivers y controladores de compañías como Intel, AMD, NVIDIA, ASUS y más.
Y se lio la mundial. Esta semana pasada se ha publicado la información de SWAPGS, una vulnerabilidad que afecta a los procesadores de Intel y posiblemente a los Ryzen, aunque está por confirmar. Pues bien, se queda una broma con la descubierta por la firma de investigación de seguridad informática Eclypsium. La firma lo ha bautizado como Screwed Drivers y afecta al diseño de los drivers modernos de más de 40 fabricantes.
Screwed Drivers es un fallo que permite a un malware obtener privilegios partiendo de Ring 3 a Ring 0. El Ring 0 básicamente concede acceso a todo el hardware sin restricciones. Lo más grave es que afecta a muchos fabricantes de hardware que tienen la certificación Microsoft WHQL.
Todos los drivers del mercado son vulnerables debido a un fallo crítico de diseño
Compañías como Intel, AMD, NVIDIA, ASUS, Toshiba, SuperMicro, EVGA, MSI o Gigabyte, entre otras, se ven afectadas por Screwed Drivers. No solo afecta a los diseñadores de drivers, sino también a todos los que desarrollan software de monitorización de hardware o de gestión del mismo. Afecta a todos los software que en el kernel de Windows pueden tener acceso al hardware con totales privilegios.
Eclypsium ha encontrado tres tipos de escalado de privilegios en los drivers. El primero es RWEverything, sigue LoJax que permite instalar malware en la UEFI y SlingShot. La vulnerabilidad explota el hecho de que Windows sigue trabajando con drivers que tienen certificados defectuosos, obsoletos o caducados.
Lógicamente la compañía no ha explicado con total detalle cómo funciona la vulnerabilidad, para evitar que la exploten. Eclypsium trabaja actualmente con varios fabricantes para desarrollar mitigaciones y parches que lo solucionen.
Destacar que estas vulnerabilidades son muy serias, no porque roben datos, sino porque podrían destruir o inutilizar sistemas. Básicamente podrían tener acceso al hardware y llevarlo al límite del mismo hasta que se rompa.
Así son las tres vulnerabilidades Screwed Drivers
- RWEverything: Permite acceder a todas las interfaces de hardware mediante el software. Opera en espacio usuario, pero con un driver con la firma RWDrv.sys de tipo kernel instalado una única vez. Es un agujero que permite al malware obtener acceso Ring 0
- LoJax: Utiliza la librería RWDrv.sys para tener acceso al controlador de flash SPI dentro del chipset. Permite que modifique la UEFI BIOS de la placa base.
- SlingShot: Un APT con un driver que contiene código malicioso que permite explotar otros drivers MSR de lectura/escritura para la omisión de aplicaciones de firma de los drivers instalados mediante rootkit.
Fuente: TPU