Para visualizar el sitio de manera óptima actualice el navegador. ×

Don't Trust the NIC: Attacking Windows NDIS Drivers

A lo largo de la última década, hemos atravesado diversas vulnerabilidades en los controladores de núcleo de Windows, no sólo en los componentes provistos por terceros , sino también en las implementaciones Microsoft. Sin embargo,en los últimos años la industria ha aprendido acerca de los peligros de no desinfectar valores provistos por usuarios o de exponer funcionalidades privilegiadas a través de drivers IOCTls, escapes de gráfico y muchas otras interfaces que actualmente están siendo más difíciles de romper en los productos de software más usados. A pesar de todos las mejoras de seguridad en los tipos de drivers de Windows más comunes, he encontrado que los drivers NDIS (Network Driver Interface Specification) instalados por los ampliamente utilizados hardware NICs y softwares como VPNs, Avs, y otros, están siendo excluidos de evaluación de vulnerabilidades. La biblioteca NDIS define una arquitectura en capas, un kernel API y un ambiente de ejecución que permite a los controladores de protocolo comunicarse con controladores de adaptador de red de manera independiente del dispositivo. Perdido en la complejidad, exploraré algunos internos de los controladores NDIS y su superficie de ataque para luego demostrar qué tan fácil es bloquear el sistema con un simple fuzzer. También mostraré los problemas encontrados en las implementaciones de proveedores tales como BSOD, filtración de información y elevación de privilegios, ésto incluye al mismo Microsoft, al generoso programa Windows Insider y NDIS.sys.

Sobre Enrique Nissim

Enrique Nissim es un Senior Security Consultant en IO Active. Su experiencia e intereses incluyen ingeniería reversa, desarrollo de explotación, programación y aplicación de seguridad. También ha sido speaker regularmente en otras conferencias internacionales de seguridad cibernética, incluyendo Cansec West, AsiSec West, EKOparty, y ZeroNights.