En julio de 2023, nuestras reglas de comportamiento proactivo se activaron al intentar cargar un controlador llamado pskmad_64.sys (Panda Memory Access Driver) en una máquina protegida. El controlador es propiedad de Panda Security y se utiliza en muchos de sus productos.
Debido al aumento del abuso legítimo de controladores con el objetivo de desactivar productos EDR (un problema que examinamos en nuestro artículo sobre controladores firmados por Microsoft comprometidos hace varios meses), y al contexto en el que se cargaba ese controlador, empezamos a investigar y profundizamos en el archivo.
Tras la reevaluación y el compromiso con el cliente, el incidente original se identificó como una prueba de simulación APT. Sin embargo, nuestra investigación condujo al descubrimiento de tres vulnerabilidades distintas que comunicamos al equipo de seguridad de Panda. Estas vulnerabilidades, ahora rastreadas como CVE-2023-6330, CVE-2023-6331 y CVE-2023-6332, han sido abordadas por Panda. La información de Panda sobre las vulnerabilidades y sus soluciones se puede encontrar a continuación.
Hallazgos por CVE
CVE-2023-6330 (Registro)
Descripción
La colmena del registro \\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion contiene varios datos útiles para determinar la versión del sistema operativo. El CSDVersion representa el nivel de Service Pack del sistema operativo. CSDBuildNumber es el número de la compilación correspondiente.
El controlador pskmad_64.sys no valida correctamente el contenido de estos valores del registro. Un atacante puede colocar contenido malicioso en CSDBuildNumber o CSDVersion, lo que provoca un desbordamiento de memoria no paginada.
Impacto
El impacto mínimo es una denegación de servicio. Con una investigación adicional, un atacante podría ser capaz de lograr RCE encadenando CVE-2023-6330 con otras vulnerabilidades. La puntuación base CVSS para esta vulnerabilidad es 6,4 y Panda la evalúa como de impacto potencial medio.
El aviso completo sobre este problema está disponible en el sitio de WatchGuard como WGSA-2024-00001, “WatchGuard Endpoint pskmad_64.sys Pool Memory Corruption Vulnerability”.
CVE-2023-6331 (OutOfBoundsRead)
Descripción
Mediante el envío de un paquete malicioso a través de una solicitud IRP con código IOCTL 0xB3702C08 al controlador, un atacante puede desbordar un área de memoria no paginada, dando lugar a una escritura fuera de los límites de la memoria. La vulnerabilidad existe debido a la falta de comprobación de límites al mover datos mediante “memmove” a un pool de memoria no paginada.
Impacto
El impacto mínimo es una denegación de servicio. Con investigaciones adicionales, un atacante podría conseguir la ejecución remota de código cuando CVE-2023-6331 se combina con otras vulnerabilidades. La puntuación base CVSS para esta vulnerabilidad también es 6,4, pero Panda la evalúa como de alto impacto potencial.
El aviso completo sobre este problema está disponible en el sitio de WatchGuard como WGSA-2024-00002, “WatchGuard Endpoint pskmad_64.sys Out of Bounds Write Vulnerability”.
CVE-2023-6332 (Lectura arbitraria)
Descripción
Debido a una validación insuficiente en el controlador del núcleo, un atacante puede enviar una solicitud IOCTL con el código 0xB3702C08 para leer directamente de la memoria del núcleo, lo que provoca una vulnerabilidad de lectura arbitraria.
Impacto
El atacante puede utilizar esta vulnerabilidad para filtrar datos sensibles, o encadenarla con otras vulnerabilidades para elaborar un exploit más sofisticado y de mayor impacto. La puntuación base CVSS para esta vulnerabilidad es 4.1, y Panda la evalúa como de impacto potencial medio.
El aviso completo sobre este problema está disponible en el sitio de WatchGuard como WGSA-2024-00003, “WatchGuard Endpoint pskmad_64.sys Arbitrary Memory Read Vulnerability”.
Productos afectados
El archivo que investigamos tiene el valor SHA256 2dd05470567e6d101505a834f52d5f46e0d0a0b57d05b9126bbe5b39ccb6af68 y la versión de archivo 1.1.0.21. Por precaución, mientras Panda llevaba a cabo su investigación, tratamos todas las versiones anteriores del archivo como potencialmente vulnerables a la espera de los resultados de la propia investigación de Panda; su investigación confirmó este enfoque.
Como se indica en los avisos de Panda, el controlador afectado está incluido en los siguientes productos:
- WatchGuard EPDR (EPP, EDR, EPDR) y Panda AD360 hasta 8.00.22.0023
- Panda Dome hasta 22.02.01 (versiones Essential, Advanced, Complete y Premium)
La versión corregida de Panda Dome, el producto de consumo es la 22.02.01. La versión corregida de WatchGuard EPDR y AD360, el producto para empresas es la 8.0.22.0023.
Cronología
2023-08-28: prueba de concepto y redacción detallada enviadas al equipo de seguridad de Panda.
2023-09-21: el equipo de seguridad de Panda respondió y reconoció nuestro informe.
2023-10-30: el equipo de seguridad de Panda nos informó de su plan para solucionar los problemas.
2023-12-06: Panda nos informa de los tres CVE asignados a estos problemas.
2024-01-18: Se publican las correcciones.
Dejar un comentario