Cómo un “ratón” puede crear un problema del tamaño un “elefante”
Seguro que todos ustedes han instalado dispositivos periféricos en sus equipos personales. Seguro que todos han seguido escrupulosamente su procedimiento de configuración. En muchos casos, sin saber muy bien por qué, y aceptando el paso siguiente de la instalación casi de forma autómata.
Pues bien, algunos de esos dispositivos —o incluso aplicaciones— y sus procesos de instalación presentan vulnerabilidades que permiten acceder con privilegios de administrador a los equipos a los que van destinados. Es lo que se conoce como vulnerabilidades LPE —Local Privilege Escalation.
LPE
Si no han oído hablar de LPE quizás este sea un buen momento. Se trata de un problema más habitual de lo que parece.
El año pasado se descubrió que Windows 10 presentaba una vulnerabilidad conocida como HiveNightMare (SeriousSAM) que permitía acceder con privilegios de administrador a los servicios de un equipo. Esta vulnerabilidad se unía a otras, tanto o más relevantes, identificadas durante los meses de verano de 2021 y que afectaban, por ejemplo, a la gestión de las colas de impresión que se utilizan en Windows. En aquellos días, los problemas fueron parcheados no sin cierta polémica por la solución planteada.
El “ratón” tiene la culpa
Para algunos es posible que el tema carezca de interés real. Que Microsoft publique periódicamente parches que corrigen problemas como estos ha hecho que nos acostumbremos a pasar por alto las razones de su presencia en nuestros equipos. Sin embargo, conviene prestarles atención.
Apenas unos días después de la aparición de HiveNightMare, un profesional de la ciberseguridad descubrió que podía interrumpir la instalación de periféricos tales como ratones inalámbricos, teclados, micrófonos, etc. en equipos personales y acceder a privilegios de administración (LPE) con un simple navegador.
El proceso de explotación de LPE era tan simple que su descubridor, Lawrence Hamer, publicó un video en el que mostraba, a través de unos sencillos pasos, cómo la instalación de dispositivos del fabricante SteelSeries podía ser interrumpida durante la aceptación de los habituales “Términos y Condiciones” del producto y abrir un navegador cuyos privilegios llevarían a un delincuente a convertirse en administrador del sistema.
La vulnerabilidad, si bien podía estar acotada a determinado tipo de productos, afectaba a una gran base de usuarios tanto profesionales como domésticos. Y aquí la superficie de ataque empezaba a ampliarse.
Los errores de los periféricos
La presencia de errores en la instalación periféricos no es una novedad en ciberseguridad. Errores similares al descrito han sido localizados en dispositivos de Razer, incluso con ratones de la marca ASUS ROG. Se trata de vulnerabilidades que no pasarían de ser anecdóticas si no fuera porque somos muchos los usuarios que instalamos nuevos elementos HW que asociamos a nuestros equipos para mejorar prestaciones o para interactuar con aplicaciones de forma más amigable. Por eso, su impacto puede ser suficientemente serio, sobre todo si los ciberdelincuentes deciden utilizarlos como mecanismos alternativos para la materialización de sus amenazas.
Por ejemplo, a partir de estas vulnerabilidades se pueden a crear herramientas que emulan el comportamiento de un periférico vulnerable. De este modo, una pequeña aplicación en Android puede permitir el acceso a los privilegios de administrador de un equipo conectando el teléfono al USB del equipo de la víctima . Pero no es la única forma; las posibilidades son numerosas.
Una recomendación
Sea cual sea el caso, lo cierto es que aquellos dispositivos que añadimos a nuestros equipos, por insignificantes que parezcan, pueden suponer nuevas vulnerabilidades para cualquier sistema. Por eso, y aunque parezca anecdótico, siempre será conveniente comprobar las “puertas que abrimos” a través de la instalación de estos periféricos; incluso aunque esas puertas sean del tamaño de un “ratón”. Sirva esto como aviso.
