* A falha do hub de jogos HP OMEN afeta milhões de computadores Windows
Pesquisadores de segurança cibernética divulgaram na terça-feira detalhes sobre uma falha de alta gravidade no software de driver HP OMEN que afeta milhões de computadores de jogos em todo o mundo, deixando-os vulneráveis a uma série de ataques.
Rastreado como CVE-2021-3437 (pontuação CVSS: 7,8), as vulnerabilidades podem permitir que os agentes de ameaças escalem privilégios para o modo kernel sem exigir permissões de administrador, permitindo que eles desabilitem produtos de segurança, sobrescrevam componentes do sistema e até corrompam o sistema operacional.
A empresa de segurança cibernética SentinelOne, que descobriu e relatou a falha à HP em 17 de fevereiro, disse que não encontrou evidências de exploração in-the-wild. Desde então, a empresa de hardware de computador lançou uma atualização de segurança para seus clientes para abordar essas vulnerabilidades.
Os próprios problemas estão enraizados em um componente chamado OMEN Command Center que vem pré-instalado em laptops e desktops da marca HP OMEN e também pode ser baixado da Microsoft Store. O software, além de monitorar a GPU, CPU e RAM por meio de um painel vitals, foi projetado para ajudar a ajustar o tráfego de rede e fazer overclock do PC de jogos para desempenho mais rápido do computador.
"O problema é que o HP OMEN Command Center inclui um driver que, embora aparentemente desenvolvido pela HP, é na verdade uma cópia parcial de outro driver cheio de vulnerabilidades conhecidas", disseram os pesquisadores do SentinelOne em um relatório compartilhado com o Hacker News.
"Nas circunstâncias certas, um invasor com acesso à rede de uma organização também pode obter acesso para executar código em sistemas sem patch e usar essas vulnerabilidades para obter elevação local de privilégios. Os invasores podem então aproveitar outras técnicas para pivotar a rede mais ampla, como lateral movimento."
O driver em questão é HpPortIox64.sys, que deriva sua funcionalidade do WinRing0.sys desenvolvido pela OpenLibSys - um driver problemático que surgiu como a fonte de um bug de escalonamento de privilégio local no software EVGA Precision X1 ( CVE-2020-14979 , pontuação CVSS: 7,8) no ano passado.
"O WinRing0 permite aos usuários ler e gravar na memória física arbitrária, ler e modificar os registros específicos do modelo ( MSRs ) e ler / gravar nas portas IO no host", observaram pesquisadores da SpecterOps em agosto de 2020. "Esses recursos são intencionais pelos desenvolvedores do driver. No entanto, como um usuário com poucos privilégios pode fazer essas solicitações, elas representam uma oportunidade para o aumento de privilégios locais. "
O problema principal decorre do fato de que o driver aceita chamadas de controle de entrada / saída ( IOCTL ) sem aplicar qualquer tipo de aplicação de ACL , permitindo assim que os malfeitores tenham acesso irrestrito aos recursos mencionados, incluindo recursos para sobrescrever um binário carregado por um processo privilegiado e, por fim, executar o código com privilégios elevados.
"Para reduzir a superfície de ataque fornecida por drivers de dispositivo com manipuladores de IOCTLs expostos, os desenvolvedores devem aplicar ACLs fortes em objetos de dispositivo, verificar a entrada do usuário e não expor uma interface genérica para operações de modo kernel", disseram os pesquisadores.
As descobertas marcam a segunda vez que o WinRing0.sys é acusado de causar problemas de segurança em produtos HP.
Em outubro de 2019, o SafeBreach Labs revelou uma vulnerabilidade crítica no software HP Touchpoint Analytics (CVE-2019-6333), que vem incluído com o driver, permitindo, assim, que os agentes de ameaças aproveitem o componente para ler a memória do kernel arbitrária e permitir uma lista de cargas maliciosas por meio de um desvio de validação de assinatura.
Após a divulgação, a empresa de segurança de firmware empresarial Eclypsium - como parte de sua iniciativa " Screwed Drivers " para compilar um repositório de drivers inseguros e lançar luz sobre como eles podem ser abusados por invasores para obter controle sobre sistemas baseados no Windows - apelidou de WinRing0.sys um "driver de buraco de minhoca por design".
A descoberta também é a terceira de uma série de vulnerabilidades de segurança que afetam os drivers de software descobertos pelo SentinelOne desde o início do ano.
No início de maio, a empresa sediada em Mountain View revelou detalhes sobre múltiplas vulnerabilidades de escalonamento de privilégios no driver de atualização de firmware da Dell chamado " dbutil_2_3.sys " que não foi divulgado por mais de 12 anos. Então, em julho, ele também tornou pública uma falha de estouro de buffer de alta gravidade que afetou " ssport.sys " e foi usada em impressoras HP, Xerox e Samsung que não foi detectada desde 2005.
Postar um comentário