Una reciente investigación del equipo de expertos en análisis de vulnerabilidades de la firma de seguridad Safe Breach llevó al hallazgo de una vulnerabilidad en versiones anteriores del software Rapid Storage Technoloy (RST) de Intel que permite el secuestro de bibliotecas de enlace dinámico (DLL), por lo que un programa malicioso podría esquivar la detección antivirus y comprometer el sistema objetivo.

Es importante destacar que la explotación de la vulnerabilidad requiere que el atacante consiga privilegios de administrador en el sistema objetivo. No obstante, al tratarse de una falla en sistemas Windows 10, la complejidad de la explotación se reduce considerablemente, pues estos sistemas se ejecutan con privilegios administrativos habilitados de forma predeterminada, lo que aligera la carga de trabajo de los actores de amenazas.

El equipo de expertos en análisis de vulnerabilidades descubrió la falla mientras recolectaban información sobre la forma en que los servicios de Windows se incluyen en diversos dispositivos, mismos que cuentan con alto nivel de confianza durante los escaneos de seguridad. Los desarrolladores de malware también realizan este tipo de análisis frecuentemente, pues así descubren qué características debe tener un software malicioso funcional.

RST está incluido en muchos dispositivos que operan con Windows, además cuenta con amplios privilegios en el sistema operativo, aunque no tiene acceso a la red de forma predeterminada. Al parecer, la vulnerabilidad existe debido a que los desarrolladores olvidaron eliminar algunos comandos de RST que ya no son funcionales para el correcto funcionamiento del software, por ejemplo, para cargar cuatro archivos DLL que ya no existen.

Acorde a los expertos en análisis de vulnerabilidades, un hacker puede tomar ventaja de esta omisión creando una DLL maliciosa empleando uno de los nombres legítimos. Para empeorar las cosas, Intel parece haber puesto todo a disposición de los hackers, pues cuando RST no puede encontrar la DLL faltante en la carpeta donde se supone debe estar, automáticamente comienza a buscarla en otras carpetas, por lo que los actores de amenazas pueden cargar el malware desde cualquier ubicación en el sistema.

Por si fuera poco, el malware gana persistencia debido a que Intel RST seguirá cargando la DLL maliciosa cada vez que el sistema se reinicie. Finalmente, debido a que, en teoría, las DLL deben ser usadas por el software Intel RST confiable, las soluciones antivirus no lo identificarán como un desarrollo malicioso.

La vulnerabilidad fue reportada por Safe Breach el pasado 22 de julio. En respuesta a este reporte, Intel lanzó diversos parches de seguridad para el software RST, incluyendo las versiones 15.x, 16.xy 17.x. Para ser exactos, los administradores de sistemas deberán actualizar a las versiones v15.9.8.x, v16.8.3.x o v17.5.1.x, mencionan los especialistas en análisis de vulnerabilidades del Instituto Internacional de Seguridad Cibernética (IICS).

Todos los parches ya han sido lanzados, por lo que las vulnerabilidades finalmente se han revelado al público. A pesar de que Intel había solicitado una extensión de tiempo para lanzar las actualizaciones el próximo mes de enero, finalmente se llegó a un acuerdo de divulgación con los investigadores de Safe Breach.

Deja un comentario