La popular aplicación Shazam que permitía a un atacante robar la ubicación precisa de un usuario simplemente haciendo clic en un enlace.
Duvier Toro - Arquitecto de Seguridad, el 26 de enero de 2021 09:56:34 AM COT
La popular aplicación Shazam que permitía a un atacante robar la ubicación precisa de un usuario simplemente haciendo clic en un enlace.
Jorge Fuentes - Consultor de Seguridad y Cumplimiento, el 26 de enero de 2021 09:53:05 AM COT
Juan López - Operador de Gestión, el 26 de enero de 2021 09:39:50 AM COT
Mario Alba - Analista de Ciberseguridad, el 20 de enero de 2021 11:11:35 AM COT
El pasado 7 de enero se hicieron públicas múltiples brechas usando los drivers de las tarjetas Nvidia, y que permitirían a un atacante realizar acciones como una denegación de servicio, un escalamiento de privilegios e incluso fugas de información.
Hasta el momento han sido publicadas 5 vulnerabilidades, relacionadas con el archivo nvlddmkm.sys, las cuales trataremos en este artículo, y que sumado con otras vulnerabilidades que utilizan otros vectores de ataque sobre estos mismos drivers suman en total 18.
Para iniciar, recordemos que un driver es un componente de software que permite al sistema operativo comunicarse con un dispositivo. Adicionalmente, un IOCTL es la manera más común en al que una aplicación interactúa con un driver. Sistemas operativos como Windows y Linux han liberado información sobre estos IOCTL para facilitar a los desarrolladores su uso e integración con sus aplicaciones.
La vulnerabilidad utiliza el archivo nvlddmkm.sys el cual forma parte del controlador encargado de las rutinas de aceleración de gráficos de la tarjeta, conocidas como funcionalidades de modo kernel de la misma. El atacante puede aprovechar esta brecha en sistemas operativos Windows, haciendo uso de una función dentro de sus IOCTLs llamada DxgkDdiEscape, la cual comparte información con el driver de pantalla para los usuarios de interfaz del sistema operativo, y a través de ella tener acceso a APIs heredadas de legacy, o en inglés (legacy privileged APIs), las cuales son utilizadas hoy por varias aplicaciones del sistema operativo Windows y podrían ser usadas por el atacante para realizar denegaciones de servicio, escalamiento de privilegios y robar información del sistema comprometido, como se menciona en la publicación oficial de Nvidia. Igualmente, permitiría denegaciones de servicio explotando una debilidad de validación de punteros de usuarios.
Aunque aún no contamos con mayores detalles sobre el modo en el cual se lleva a cabo la explotación de la brecha, un artículo de Project Zero (Iniciativa de Google para ataques de día cero) del año 2017 mencionaba como aprovechar las debilidades en la validación del puntero DXGKARG_ESCAPE que hace parte de la función DxgkDdiEscape.
Juan David Quintero - Analista de Seguridad, el 20 de enero de 2021 09:46:07 AM COT
Diego Mejía - Analista de Ciberseguridad, el 20 de enero de 2021 09:31:10 AM COT
Nikita Abramov, un experto en seguridad de la compañía Positive Technologies, descubrió una vulnerabilidad DoS etiquetada como CVE-2020-27716, que afecta ciertas versiones del F5 BIG-IP Access Policy Manager (APM). El Gestor de Políticas de Acceso BIG-IP de F5 es una solución proxy segura, flexible y de acceso gestionado de alto desempeño que brinda control de acceso global unificado para usuarios, dispositivos, aplicaciones y APIs.
Neil Gutiérrez - Operador CSOC, el 13 de enero de 2021 08:46:34 PM COT
Jorge Rodríguez - Analista de Ciberseguridad, el 13 de enero de 2021 12:45:47 PM COT
John Contreras - Arquitecto de Seguridad, el 13 de enero de 2021 12:23:29 PM COT
Andrés Piraján - Analista de Ciberseguridad, el 5 de enero de 2021 09:19:35 AM COT
Daniel Gómez – Arquitecto de Seguridad I, el 5 de enero de 2021 09:17:41 AM COT
Álvaro Gómez - Arquitecto de Seguridad y Aplicaciones, el 5 de enero de 2021 09:14:11 AM COT
