Micro-Star Global (MSI), un fabricante de computadoras que reclama hasta el 15% del mercado de computadoras portátiles para juegos, envía una utilidad llamada «TrueColor» con sus sistemas. A principios de este año, un investigador de Triox encontró un problema con TrueColor, un par de caracteres que faltaban que permitirían a un actor malicioso ejecutar aplicaciones arbitrarias y ganar persistencia del sistema a un nivel de privilegio muy alto. Y aunque la vulnerabilidad ha sido parcheada, los factores que permiten que exista permanecen para todos los sistemas Home windows.
Uriel Kosayev, CTO de Triox, dice que él y su equipo de investigación buscaban vulnerabilidades que pudieran existir en controladores y utilidades. «Tengo una computadora MSI y decidí investigar mi propia computadora», explica. «Encontré este extraño servicio y, a través de mi investigación, descubrí que podía explotarse con persistencia y otros fines».
Dentro de Windows, la clase de vulnerabilidad que encontró se denomina vulnerabilidad de «Ruta de servicio no citada». Cuando una utilidad o servicio llama a una aplicación en sus parámetros de inicio, se proporciona el nombre de ruta completo de la aplicación. El nombre de ruta puede estar entre comillas o No. Y esa es la raíz de la vulnerabilidad.
Si el servicio o la utilidad llama a la aplicación entre comillas, solo se puede llamar a ese nombre de ruta específico. Sin embargo, si no se utilizan comillas, cualquier ejecutable puede sustituirse, y empeora. Cualquier cambio en el ejecutable llamado es persistente y permanece en su lugar mediante reinicios y reinicios. Y se ejecuta en el nivel de privilegio del servicio, que a menudo se encuentra en el nivel de administración durante el proceso de arranque.
Como explica Kosayev, «Es fácil de explotar, y es crítico porque le da persistencia en la computadora. También es un problema en una cuenta altamente privilegiada. Si los atacantes conocen el problema, pueden explotarlo ampliamente». Kosayev envió la vulnerabilidad a Mitre y a CVE (CVE-2020-8842) se emitió.
Afortunadamente, el parche fue sencillo. «Para solucionar el problema, MSI solo necesitaba agregar las comillas alrededor del camino», dice Kosayev.
De acuerdo con la línea de tiempo presentada en un entrada en el website sobre la vulnerabilidad, Triox notificó a MSI sobre la vulnerabilidad el 23 de febrero y se emitió un parche el 4 de abril. Contactar a MSI para informarles sobre la vulnerabilidad fue algo desafiante, dice Kosayev, porque la compañía no tiene un canal dedicado de informes de vulnerabilidad o programa de recompensas de errores.
«Cuando le expliqué el problema, me tomó cerca de 20 días solucionarlo», dice Kosayev, continuando, «Creo que necesitan un programa oficial de recompensas como otras compañías, pero al ultimate, resolvieron el problema».
Contenido relacionado:
Curtis Franklin Jr. es editor sénior en Dark Studying. En este puesto, se centra en la cobertura de productos y tecnología para la publicación. Además, trabaja en programación de audio y movie para Dark Examining y contribuye a actividades en Interop ITX, Black Hat, INsecurity y … Ver biografía completa
Más thoughts
