Investigadores de seguridad cibernética publicaron el martes detalles de un error muy grave en el software del controlador HP OMEN que afecta a millones de computadoras para juegos en todo el mundo, dejándolas expuestas a una serie de ataques.
rastreado como CVE-2021-3437 (Puntuación CVSS: 7,8) Las vulnerabilidades podrían permitir a los actores de amenazas escalar los permisos de modo kernel sin necesidad de privilegios de administrador, permitiéndoles desactivar productos de seguridad, sobrescribir componentes del sistema e incluso dañar el sistema operativo.
Cybersecurity SentinelOne, que descubrió la deficiencia y se la informó a HP el 17 de febrero, dijo que no había encontrado evidencia de abuso en la naturaleza. Desde entonces, la empresa de hardware informático lanzó una actualización de seguridad para sus clientes que aborda estas vulnerabilidades.
Los problemas en sí tienen su raíz en un componente llamado OMEN Command Center, que está preinstalado en las computadoras portátiles y de escritorio HP OMEN y también se puede descargar desde Microsoft Store. Este software, además de monitorear la GPU, la CPU y la RAM a través del panel de control de vitals, está diseñado para ayudar a ajustar el tráfico de la red y hacer overclocking en la PC para juegos para un rendimiento más rápido de la computadora.
«El problema es que HP OMEN Command Center incluye un controlador que, aunque aparentemente fue desarrollado por HP, en realidad es una copia parcial de otro controlador lleno de vulnerabilidades conocidas», dijeron los investigadores de SentinelOne en un informe compartido con The Hacker News.
«Bajo las circunstancias adecuadas, un atacante con acceso a la red de una organización también puede obtener acceso para ejecutar código en sistemas no reparados y explotar estas vulnerabilidades para obtener una elevación local de privilegios. Los atacantes pueden usar otras técnicas para apoyarse en una red más amplia, como movimiento.»
El controlador en cuestión es HpPortIox64.sys, que deriva su funcionalidad de WinRing0.sys desarrollado por OpenLibSys, un controlador problemático que apareció como la fuente de errores de escalada de privilegios locales en el software EVGA Precision X1 (CVE-2020-14979, puntaje CVSS: 7.8 ) el año pasado .
«WinRing0 permite a los usuarios leer y escribir en cualquier memoria física, leer y modificar registros específicos del modelo (MSR) y leer/escribir en puertos IO en el host», señalaron los investigadores de SpecterOps en agosto de 2020. «Estas funciones están diseñadas por el controlador desarrolladores Sin embargo, debido a que estos requisitos pueden ser realizados por un usuario con pocos privilegios, brindan la oportunidad de escalar los privilegios locales”.
El problema fundamental se deriva del hecho de que el controlador recibe llamadas de control de entrada/salida (IOCTL) sin utilizar ningún tipo de cumplimiento de ACL, lo que brinda a los malhechores acceso sin restricciones a las funciones anteriores, incluida la capacidad de sobrescribir un archivo binario que está cargado por un proceso privilegiado. y finalmente ejecute el código elevado.
«Para reducir el área de ataque proporcionada por los controladores de dispositivos con controladores IOCTL expuestos, los desarrolladores deben aplicar ACL fuertes en los objetos del dispositivo, verificar la entrada del usuario y no exponer la interfaz genérica a las operaciones en modo kernel», dijeron los investigadores.
Los hallazgos significan que WinRing0.sys apareció bajo la lente por segunda vez porque causaba problemas de seguridad en los productos HP.
En octubre de 2019, SafeBreach Labs descubrió una vulnerabilidad crítica en el software HP Touchpoint Analytics del controlador (CVE-2019-6333), que potencialmente permite a los actores de amenazas usar un componente para leer la memoria arbitraria del kernel y hacer cumplir de manera efectiva las cargas útiles maliciosas al omitir la verificación de firma.
Tras la publicación de la información, Eclypsium Enterprise Firmware Security, como parte de su iniciativa «Drivers atornillados», que tiene como objetivo construir un repositorio de controladores inseguros y explicar cómo los atacantes pueden explotarlos para obtener el control de los sistemas basados en Windows, llamado WinRing0. sis. «Conductor de agujero de gusano diseñado».
El descubrimiento es también el tercero de una serie de vulnerabilidades de seguridad que afectan a los controladores de software que SentinelOne ha descubierto desde principios de año.
A principios de mayo de este año, la empresa con sede en Mountain View reveló detalles de varias vulnerabilidades de escalada de permisos en la actualización del controlador de firmware de Dell «dbutil_2_3.sys», que no se ha revelado durante más de 12 años. En julio, también lanzó un error de desbordamiento de búfer muy grave que afecta a «ssport.sys» y se usa en impresoras HP, Xerox y Samsung, que no ha sido detectado desde 2005.
