En los últimos 15 años, Microsoft ha hecho grandes progresos en la fortificación del kernel de Windows, el núcleo del sistema operativo que los hackers deben controlar para hacerse con el control de un ordenador. Una de las piedras angulares de ese progreso ha sido la promulgación de nuevas y estrictas restricciones a la carga de los controladores del sistema que pueden ejecutarse en el modo kernel. Estos controladores son cruciales para que las computadoras funcionen con impresoras y otros periféricos, pero también son una cómoda vía de entrada que los hackers pueden aprovechar para permitir que su malware acceda sin restricciones a las partes más sensibles de Windows.
Con la llegada de Windows Vista, todos los controladores sólo podían cargarse después de haber sido aprobados previamente por Microsoft y firmados digitalmente para verificar su seguridad.
La semana pasada, los investigadores de la empresa de seguridad ESET revelaron que hace aproximadamente un año, Lazarus el grupo de hackers respaldado por el gobierno de Corea del Norte, explotó una laguna kilométrica que existía en la aplicación de firmas de controladores (DSE) de Microsoft desde el principio. Los documentos maliciosos que Lazarus conseguía hacer abrir a los objetivos eran capaces de obtener el control administrativo de la computadora del objetivo, pero las modernas protecciones del kernel de Windows presentaban un formidable obstáculo para que Lazarus lograra su objetivo de asaltar el kernel.
Por este motivo, que Lazarus eligió uno de los movimientos más antiguos en el libro de juegos de explotación de Windows, una técnica conocida como (BYOVD) Bring Your Own Vulnerable Driver por sus siglas en inglés, lo que significa Traiga su propio conductor vulnerable, en español. En lugar de encontrar y cultivar algún día cero exótico para perforar las protecciones del kernel de Windows, los miembros de Lazarus simplemente utilizaron el acceso de administrador que ya tenían para instalar un controlador que había sido firmado digitalmente por Dell antes de que se descubriera el año pasado una vulnerabilidad crítica que podía ser explotada para obtener privilegios en el kernel.
El investigador de ESET Peter Kálnai dijo que Lazarus envió a dos objetivos (uno de ellos un empleado de una empresa aeroespacial en los Países Bajos y el otro un periodista político en Bélgica) documentos de Word de Microsoft que habían sido trucados con un código malicioso que infectaba los ordenadores que lo abrían. El objetivo de hackers era instalar una puerta trasera avanzada denominada Blindingcan, pero para lograrlo, primero tuvieron que desactivar varias protecciones de Windows. El camino de menor resistencia, en este caso, era simplemente instalar dbutil_2_3.sys, el controlador defectuoso de Dell, que es responsable de actualizar el firmware de Dell a través de la utilidad Bios personalizada de Dell.
"Por primera vez en la naturaleza, los atacantes fueron capaces de aprovechar CVE-2021-21551 para desactivar el monitoreo de todas las soluciones de seguridad", escribió Kálnai, refiriéndose a la designación utilizada para rastrear la vulnerabilidad en el controlador de Dell. "No sólo se hizo en el espacio del kernel, sino también de forma robusta, utilizando una serie de elementos internos de Windows poco o nada documentados. Sin duda, esto requirió profundas habilidades de investigación, desarrollo y pruebas".
En el caso del periodista, el ataque se desencadenó, pero fue rápidamente detenido por los productos de ESET, con un solo ejecutable malicioso involucrado.
Aunque puede ser el primer caso documentado de atacantes que explotan el CVE-2021-21551 para atravesar las protecciones del kernel de Windows, no es en absoluto el primer caso de un ataque BYOVD. Una pequeña muestra de ataques BYOVD anteriores incluye:
El malware apodado SlingShot que se escondió en los sistemas infectados durante seis años hasta que fue descubierto por la empresa de seguridad Kaspersky. Activo desde 2012, SlingShot explotaba vulnerabilidades que se habían encontrado ya en 2007 en controladores como Speedfan.sys y sandra.sys. Dado que estos controladores habían sido firmados digitalmente en su momento, Microsoft no tenía ninguna forma viable de evitar que Windows los cargara, aunque las vulnerabilidades eran bien conocidas.
RobbinHood, el nombre del ransomware que instala el controlador de placa base GDRV.SYS de GIGABYTE y luego aprovecha la vulnerabilidad conocida CVE-2018-19320 para instalar su propio controlador malicioso.
LoJax, el primer rootkit UEFI conocido en la naturaleza. Para obtener acceso a los módulos UEFI de los objetivos, el malware instaló una potente utilidad llamada RWEverything que tenía una firma digital válida.
Dada la historia, se podría pensar que Microsoft habría creado una defensa viable para detener los ataques BYOVD, sin embargo, no hay evidencia de que ese sea el caso. La compañía afirma que los usuarios de Windows pueden habilitar una función que bloquea automáticamente los controladores vulnerables conocidos.
La compañía también sugiere en otra parte que la activación de la combinación de la integridad de la memoria y la integridad del código protegido por el hipervisor ofrecerá protección contra los ataques BYOVD.