Hasta 34 modelos de controladores de Windows vulnerables \u00fanicos (WDM<\/a>) y marcos de controladores de Windows (WDF<\/a>) los controladores podr\u00edan ser explotados por actores de amenazas sin privilegios para obtener el control total de los dispositivos y ejecutar c\u00f3digo arbitrario en los sistemas subyacentes.<\/p>\n “Al explotar los controladores, un atacante sin privilegios puede borrar\/alterar el firmware y\/o elevar [operating system] privilegios”, dijo Takahiro Haruyama, investigador senior de amenazas de VMware Carbon Black. dicho<\/a>.<\/p>\n El investigaci\u00f3n<\/a> ampl\u00eda estudios anteriores, como Controladores atornillados<\/a> y palomitas de ma\u00edz<\/a> que utiliz\u00f3 ejecuci\u00f3n simb\u00f3lica<\/a> para automatizar el descubrimiento de conductores vulnerables. Se centra espec\u00edficamente en controladores que contienen acceso al firmware a trav\u00e9s de E\/S de puerto y E\/S asignadas en memoria.<\/p>\n Los nombres de algunos de los controladores vulnerables incluyen AODDriver.sys, ComputerZ.sys, dellbios.sys, GEDevDrv.sys, GtcKmdfBs.sys, IoAccess.sys, kerneld.amd64, ngiodriver.sys, nvoclock.sys, PDFWKRNL.sys (CVE-2023-20598<\/a>), RadHwMgr.sys, rtif.sys, rtport.sys, stdcdrv64.sys y TdkLib64.sys (CVE-2023-35841<\/a>).<\/p>\n De los 34 controladores, seis permiten el acceso a la memoria del kernel, de la que se puede abusar para elevar los privilegios y anular las soluciones de seguridad. Doce de los conductores podr\u00edan ser explotados para subvertir los mecanismos de seguridad<\/a> como la aleatorizaci\u00f3n del dise\u00f1o del espacio de direcciones del kernel (KASLR<\/a>).<\/p>\n Siete de los controladores, incluido stdcdrv64.sys de Intel, se pueden utilizar para borrar el firmware en el memoria flash SPI<\/a>, haciendo que el sistema no pueda iniciarse. Desde entonces, Intel ha publicado una soluci\u00f3n para el problema.<\/p>\n VMware dijo que tambi\u00e9n identific\u00f3 controladores WDF como WDTKernel.sys y H2OFFT64.sys que no son vulnerables en t\u00e9rminos de control de acceso, pero que pueden ser utilizados trivialmente como armas por actores de amenazas privilegiados para llevar a cabo lo que se llama un ataque Bring Your Own Vulnerable Driver (BYOVD). .<\/p>\n La t\u00e9cnica ha sido empleada por varios adversarios, incluido el Grupo Lazarus vinculado a Corea del Norte, como una forma de obtener privilegios elevados y desactivar el software de seguridad que se ejecuta en puntos finales comprometidos para evadir la detecci\u00f3n.<\/p>\n “El alcance actual de las API\/instrucciones a las que se dirige la [IDAPython script<\/a> for automating static code analysis of x64 vulnerable drivers] es limitado y s\u00f3lo se limita al acceso al firmware”, afirm\u00f3 Haruyama.<\/p>\n “Sin embargo, es f\u00e1cil ampliar el c\u00f3digo para cubrir otros vectores de ataque (por ejemplo, finalizar procesos arbitrarios)”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Los-investigadores-encuentran-34-controladores-de-Windows-vulnerables-a-la.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n