Recientemente se descubrió un truco que evita que tu dispositivo sea controlado por aplicaciones vulnerables de Windows cuando los dispositivos están conectados a tu computadora.
El
mes pasado, investigadores detallaron cómo simplemente conectando un
dispositivo en Windows también se podía instalar una aplicación de un proveedor
que permite a los usuarios comunes obtener rápidamente privilegios de SYSTEM.
Por si no lo sabes, SYSTEM el nivel de privilegio de usuario más elevado en
Windows.
Por
ejemplo, cuando los usuarios conectan un mouse USB Razer, Windows instala automáticamente su controlador y
el software Razer Synapse.
Sin
embargo, dado que Windows inició la instalación del software mediante un
proceso con privilegios de SYSTEM, el software Razer Synapse también se ejecutó
con privilegios de SYSTEM.
Durante
la instalación de Razer Synapse, puedes especificar una carpeta diferente para
instalar el programa, lo que abre un cuadro de diálogo 'Elegir una carpeta'.
Sin
embargo, cuando este cuadro de diálogo está abierto, es posible abrir una consola
de PowerShell, que también se abriría con los privilegios de SYSTEM del
instalador de Razer Synapse.
Para
aquellos que no están familiarizados con los privilegios del SYSTEM, son los permisos
de usuario más elevados disponibles en Windows y te permiten ejecutar cualquier comando en el sistema operativo.
Usando
estos errores, los usuarios con pocos privilegios en un dispositivo Windows
pueden fácilmente tomar el control completo sobre él simplemente conectando un
mouse USB de $20.
Esta
vulnerabilidad se descubrió en aplicaciones conocidas como
"co-instaladores" y, desde que se detectó la primera, otros
investigadores encontraron más dispositivos que pueden permitir la elevación
de privilegios locales.
Bloqueo de aplicaciones de coinstaladores de controladores en Windows
Cuando
los desarrolladores de hardware envían controladores a Microsoft para su
distribución a través de Windows, pueden configurar co-instaladores específicos del
dispositivo que se ejecutarán después de que Windows instale
el controlador Plug-and-Play ("enchufar,
conectar y usar").
Estos
co-instaladores se pueden utilizar para configurar claves
de registro específicas del dispositivo, descargar e instalar otras
aplicaciones o realizar otras funciones necesarias para que el dispositivo funcione
correctamente.
A
través de la función de coinstaladores, Razer, Synapse y otros fabricantes de
hardware pueden instalar sus utilidades de configuración cuando sus
dispositivos USB están conectados a una computadora.
El
truco para evitar la explotación de esta función consiste en configurar un
valor del Registro
de Windows que bloquea la instalación de los co-instaladores durante la
función Plug-and-Play.
Para
hacer esto, debes abrir el Editor del Registro y navegar hasta
la clave de Registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Device
Installer. Debajo de esa clave, debes agregar un valor DWORD-32
llamado DisableCoInstallers y configurarlo en 1,
como se muestra a continuación.
Una
vez habilitado, Windows bloqueará la instalación de co-instaladores cuando
conectes un dispositivo
USB asociado a tu computadora.
Es
importante tener en cuenta que realizar este cambio bloqueará la instalación automática del software de
configuración de un dispositivo. En su lugar, deberás descargarlo e
instalarlo manualmente desde el sitio del proveedor.
Sin
embargo, el inconveniente vale la seguridad adicional recibida al bloquear la
instalación de aplicaciones potencialmente explotables durante el proceso
Plug-and-Play de Windows.