Los investigadores de ciberseguridad han revelado múltiples vulnerabilidades en un software controlador de terceros desarrollado por Eltima que han sido «heredadas involuntariamente» por soluciones de escritorio en la nube como Amazon Workspaces, Accops y NoMachine y podrían proporcionar a los atacantes un camino para realizar una variedad de actividades maliciosas.
«Estas vulnerabilidades permiten a los atacantes escalar privilegios para deshabilitar productos de seguridad, sobrescribir componentes del sistema, corromper el sistema operativo o realizar operaciones maliciosas sin obstáculos», dijeron los investigadores de SentinelOne en un informe compartido con The Hacker News.
Desde entonces, las fallas se han abordado en Amazon Nimble Studio AMI, Amazon NICE DCV, Amazon WorkSpaces, Amazon AppStream, NoMachine, Accops HyWorks, Accops HyWorks DVM Tools, Eltima USB Network Gate, Amzetta zPortal Windows zClient, Amzetta zPortal DVM Tools, FlexiHub y Donglify.
En esencia, los problemas residen en un producto desarrollado por Eltima que ofrece capacidades de «USB sobre Ethernet» y permite que los servicios de virtualización de escritorio como Amazon WorkSpaces redirijan los dispositivos USB conectados, como cámaras web, a su escritorio remoto.
Específicamente, las vulnerabilidades se remontan a dos controladores que son responsables de la redirección USB, «wspvuhub.sys» y «wspusbfilter.sys», lo que lleva a un escenario de desbordamiento del búfer que podría resultar en la ejecución de código arbitrario con privilegios de modo kernel. .
 |
| Prueba de concepto BSoD |
«Un atacante con acceso a la red de una organización también puede obtener acceso para ejecutar código en sistemas no parcheados y usar esta vulnerabilidad para obtener elevación local de privilegios», señaló la firma de ciberseguridad. «Los atacantes pueden aprovechar otras técnicas para girar hacia la red más amplia, como el movimiento lateral».
El descubrimiento marca el cuarto conjunto de vulnerabilidades de seguridad que afectan a los controladores de software y que SentinelOne ha descubierto desde principios de año.
A principios de este mes de mayo, la compañía con sede en Mountain View reveló una serie de vulnerabilidades de escalada de privilegios en el controlador de actualización de firmware de Dell llamado » dbutil_2_3.sys » que no se reveló durante más de 12 años. Luego, en julio, también hizo público una falla de desbordamiento de búfer de alta gravedad que afectaba a » ssport.sys » y se usaba en impresoras HP, Xerox y Samsung que se descubrió que no habían sido detectadas desde 2005.
Y en septiembre, SentinelOne hizo pública una falla de alta gravedad en el software del controlador HP OMEN » HpPortIox64.sys » que podría permitir a los actores de amenazas elevar los privilegios al modo kernel sin requerir permisos de administrador, lo que les permite deshabilitar productos de seguridad, sobrescribir componentes del sistema, e incluso corromper el sistema operativo.
Fuente: https://thehackernews.com
