Vulnerabilidad crítica de escalada de privilegios en laptops ASUS con la aplicación ROG Armory Crate instalada

Un reporte de seguridad publicado por un investigador italiano señala que el abuso de una vulnerabilidad en la aplicación de manejo de hardware ROG Armory Crate para equipos ASUS permitiría a los usuarios con privilegios reducidos ejecutar código con privilegios de administrador en el sistema comprometido.

Esta es una solución diseñada para los usuarios de hardware que usan luces LED y otros tipos de iluminación en sus equipos, algo que se ha vuelto tendencia especialmente en la comunidad PC gamer.

El investigador, identificado simplemente como Federico, descubrió esta falla después de analizar el código de ROG Armory Crate, lo que le permitió encontrar un error de secuestro de DLL con el que un usuario convencional podría ejecutar código con privilegios SYSTEM después de inyectar un archivo especialmente diseñado en un directorio utilizado por la aplicación.

Al analizar los registros de arranque de Process Monitor el investigador notó que Armory Crate v4.2.8 estaba llamando a un archivo DLL desde una carpeta dentro de C:\ProgramData\, una carpeta en la que cualquier usuario de Windows 10 puede escribir sin usar una contraseña de administrador u otro tipo de privilegio en el sistema. La vulnerabilidad fue identificada como CVE-2021-40981, aunque aún no ha recibido un puntaje del Common Vulnerability Scoring System (CVSS).

Aunque la explotación de esta falla es trivial, las consecuencias de un potencial ataque son considerablemente bajas. Entre los principales riesgos derivados de esta falla se encuentran infecciones de malware para minar criptomoneda o manipulación arbitraria del hardware afectado.

Sobre esta falla, el investigador menciona que esta clase de software está mal diseñado en términos de ciberseguridad: “Por lo general estos productos no son diseñados teniendo en cuenta la seguridad. No es una crítica solo para ASUS, toda la industria incurre en las mismas prácticas.”

La última versión de Armory Crate (v4.2.10) incluye una corrección para esta vulnerabilidad y fue lanzada apenas un par de semanas después de que ASUS recibió el reporte. La compañía ya ha recibido algunas solicitudes de información de la comunidad de la ciberseguridad, aunque ASUS no ha mencionado nada al respecto.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).