Peligrosa vulnerabilidad en software de redirección de puertos USB a un escritorio remoto

FabulaTech es la desarrolladora de “USB for Remote Desktop”, un software que permite utilizar el puerto USB de un dispositivo (Cliente) en otra máquina de forma remota (Servidor), siendo una solución de redirección USB a través de la red. FabulaTech posee una impresionante lista de clientes, pertenecientes a una gran variedad de sectores y con un alto nivel de perfil, entre estos están Google, Microsoft, Texas Instruments, BMW, MasterCard, NASA, Intel, entre otros.

Recientemente un grupo de expertos a reportado una vulnerabilidad en “USB for Remote Desktop”, seguida como CVE-2020-9332, donde su explotación exitosa puede permitir a un atacante en un sistema objetivo elevar privilegios al agregar dispositivos falsos.

El servicio que proporciona el software, consiste en redireccionar del lado del cliente uno o más dispositivos USB a través de la red, para aparentar que están conectados de forma local en el computador que hace de servidor. Esto se realiza por medio de la recolección de todos los datos en el lado del cliente, para luego ser enviados a la máquina remota que ejecuta el software como servidor, en dicho lado, se utiliza un controlador bus que crea un objeto virtual que ordena la repetición de toda la comunicación de entrada y salida que provenga del dispositivo con el software cliente.

Los expertos iniciaron su investigación al notar una actividad extraña del Kernel en computadores que utilizaban el software de FabulaTech, encontrando la falla en el controlador Bus, específicamente en una rutina la cual es llamada “IoCreateDevice”, por motivo a que no tiene verificaciones de seguridad para bloquear el acceso a entidades con pocos privilegios. Resaltando que por lo general, los controladores protegen sus objetos de sus dispositivos, agregando un descriptor de seguridad que restringe el acceso a todos los usuarios que no tengan privilegios de sistema y administración.

Pero la rutina “IoCreateDevice”, permite a usuarios sin privilegios agregar y controlar dispositivos de los programas en los que confía el sistema operativo y en este caso en particular, porque el servicio es ejecutado bajo una cuenta LocalSystem en cualquier usuario.

Servicio ejecutándose en LocalSystem


Para demostrar la vulnerabilidad, los investigadores crearon una prueba de concepto, en ella, mantuvieron el enfoque del funcionamiento del controlador como un repetidor entre el sistema operativo y un servicio de modo usuario que obtiene los datos redirigidos de un dispositivo real. Durante el análisis del reporte de divulgación de datos, notaron que el controlador por medio de la rutina “IoCreateDevice”, estaba exponiendo los códigos de control que son utilizados para crear un dispositivo, logrando obtener un bloque de petición USB (URB - USB Request Block) desde el sistema operativo, lo que les permitió responder la URB.

Dispositivo USB remoto agregado


Cabe destacar que por medio de esta vulnerabilidad puede ser simulado cualquier dispositivo USB, permitiendo realizar ataques al agregar un mouse que tome control del puntero o incluso una tarjeta de red para interceptar el tráfico.



Fuente:

COMENTARIOS

Nombre

Actualizaciones,4,Adobe,2,Adware,3,AgentTesla,1,android,31,Antivirus,3,APP,1,Apple,16,Apps,13,Arkavia Networks,15,asus,1,Ataques,5,Azure,2,Backdoor,4,Bancos,6,Bases de Datos,4,Bluetooth,1,Botnet,4,Botnet. Malware,1,Check Point,3,Chips,1,Chrome,2,Ciberataque,4,Cibercrimen,131,Ciberdelincuencia,7,ciberseguridad,124,Cisco,1,Citrix,4,Cloud,2,CMS,1,ComRAT,1,Comunicaciones,1,Consejos,1,CONVID,1,CookieThief,1,Coronavirus,1,COVID19,2,CPU,3,Criptomonedas,6,CTF,1,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Breach,3,Data Leak,10,Datos,2,DDoS,4,Deep Web,5,dlink,1,DNS,1,Domains,1,Ecommerce,3,Emotet,1,Empresas,113,enrutadores,1,Estadisticas,1,evento,1,Eventos,6,Exchange,2,exploit,5,Exploits,11,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Firewall,1,Firmware,2,Flash,1,Framework,1,Freta,1,Gmail,1,GoDaddy,1,google,32,Hacking,83,Hardware,7,Hosting,3,HTML5,1,IBM,1,Industria,10,Infostealer,2,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,9,ios,5,IoT,4,ipad,1,iphone,1,ISO,1,Joomla,1,Linux,8,Macromedia,1,Malware,39,Malwares,32,Messenger,1,MFA,1,Microsoft,34,Mirai,1,MSP,1,Mukashi,1,Nacional,10,NAS,1,Negocios,2,Netgear,1,Node.js,1,Openwrt,1,Oracle,2,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,16,Plugins,1,Protocolos,12,Python,1,QR,1,Ransomware,14,RAT,1,RCE,1,RDP,3,Recomendaciones,16,Redes,30,redes sociales,12,Redhat,1,Remoto,1,Rookit,1,Rootkit,1,Routers,2,RRSS,2,Salt,1,Salud,2,Servicios,5,Smartphones,29,SMB,4,Software,23,Sophos,1,Spamhaus,1,Spyware,11,SQL,1,SSL,1,Teams,1,Tplink,1,Trickbot,1,Trojan,1,Troyano,2,Update,5,updates,22,USB,1,Videoconferencia,1,VNC,1,VPN,3,Vulnerabilidad,22,Vulnerabilidades,74,Web,7,WhatsApp,5,wifi,5,Windows,15,Wordpress,4,XG,1,zeroday,2,Zoom,2,
ltr
item
Arkavia Networks News: Peligrosa vulnerabilidad en software de redirección de puertos USB a un escritorio remoto
Peligrosa vulnerabilidad en software de redirección de puertos USB a un escritorio remoto
https://1.bp.blogspot.com/-4CvsKgLxbKE/Xuu38K2kDxI/AAAAAAAACHQ/DzkYtZAUmQQiBOlGBjwx66rPu1ZwJ6SAwCK4BGAsYHg/w640-h320/Vulnerability%2BUSB%2Bto%2BRDP.jpg
https://1.bp.blogspot.com/-4CvsKgLxbKE/Xuu38K2kDxI/AAAAAAAACHQ/DzkYtZAUmQQiBOlGBjwx66rPu1ZwJ6SAwCK4BGAsYHg/s72-w640-c-h320/Vulnerability%2BUSB%2Bto%2BRDP.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/06/peligrosa-vulnerabilidad-en-software-de.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/06/peligrosa-vulnerabilidad-en-software-de.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy