Investigadores de seguridad descubren vulnerabilidades críticas en los controladores de seguridad del software Panda Security. Esta cadena de fallas abusa de controladores legítimos para desactivar productos EDR. A pesar de tener puntuaciones CVSS relativamente bajas, pueden ser bastante eficientes en ataques del mundo real.
Vulnerabilidades descubiertas en el controlador Panda Security
Los investigadores han descubierto Tres vulnerabilidades críticas en un controlador de seguridad. ampliamente utilizado en varias plataformas digitales. El conductor en cuestión es pskmad_64.sys, que pertenece a Panda Security. Aunque la vulnerabilidad fue descubierta en julio 2023, la compañía proporcionó un parche solo en enero 2024.
Mediante un análisis más detallado, Los expertos descubrieron que el incidente inicial ocurrió durante el procedimiento de prueba de penetración.. El equipo rojo elaboró y utilizó esas vulnerabilidades durante el ataque.. Ahora, recibieron los códigos de CVE-2023-6330, CVE-2023-6331 y CVE-2023-6332 respectivamente.
Análisis de los defectos
La primera vulnerabilidad es CVE-2023-6330, que tiene cvss 6.4 y está relacionado con el registro. Porque el controlador no validó correctamente el contenido de estos valores de registro, un atacante podría colocar contenido malicioso en los valores correctos. Esto podría haber resultado en un desbordamiento de la memoria.. El daño mínimo de esta vulnerabilidad es una denegación de servicio..
La segunda vulnerabilidad, CVE-2023-6331, también tiene cvss 6.4, pero Panda lo califica como alto. La vulnerabilidad está relacionada con la falta de verificación de límites al mover datos a través de memmove a un grupo de memoria descargable.. Un atacante puede enviar un paquete creado con fines malintencionados al controlador mediante una solicitud IRP con Código IOCTL 0xB3702C08. Esta acción provocará un desbordamiento del grupo de memoria descargable., resultando en una escritura sin memoria. El daño mínimo es una denegación de servicio..
La tercera vulnerabilidad CVE-2023-6332 tiene cvss 4.1 y consiste en una validación de solicitud insuficiente en el controlador del kernel. Eso es, un atacante puede enviar una solicitud de lectura específica directamente desde la memoria del kernel, provocando la filtración de datos confidenciales. Aunque a primera vista todas estas vulnerabilidades parecen inofensivas, en combinación con otras vulnerabilidades, pueden causar daños más graves..
Explotación de controladores antivirus: una nueva tendencia?
La historia de los controladores vulnerables de Panda Security es extrañamente similar a la reciente noticia sobre una táctica employed by Kasseika ransomware. Dentro de un curso de Ataque BYOVD, este último aprovechó un conductor defectuoso de un Sistema de agentes VirIT solución de seguridad. Este enfoque permitió a los piratas informáticos enumerar todos los procesos que se ejecutan en el entorno y suspender los relacionados con las herramientas de seguridad..
En general, the idea of using vulnerable drivers en ciberataques no es nuevo. Aunque apuntar específicamente a los controladores de software antivirus/antimalware parece ser una nueva tendencia. Estos controladores tienen una integración más profunda del sistema., lo que lleva a un control más completo sobre el sistema en caso de una explotación exitosa. Además, Las propias herramientas de seguridad suelen considerar a estos controladores seguros y legítimos., lo que significa que los atacantes pueden permanecer fuera del radar incluso teniendo su «arma principal» implementado directamente en el disco.
Cómo mantenerse protegido?
Para garantizar su seguridad y protección, mantener su software y sistemas de seguridad actualizados es crucial. De este modo, Realizar auditorías rutinarias del sistema e implementar protocolos de seguridad sólidos también puede ayudar a proteger contra posibles vulnerabilidades.. Además, hay recomendaciones más detalladas que abordan las vulnerabilidades actuales.
