Un fallo en USB para escritorio remoto agrega dispositivos falsos

Es muy común encontrarnos con vulnerabilidades en nuestros dispositivos y sistemas. Son muchos los fallos de seguridad que pueden comprometer el buen funcionamiento de los equipos y también poner en riesgo nuestra privacidad. Los piratas informáticos pueden aprovecharse de estos problemas que no cuenten con los parches adecuados. En este artículo nos hacemos eco de un fallo de seguridad que afecta al software que redirige los dispositivos USB locales a un sistema remoto. Esto permitiría a los atacantes agregar dispositivos falsos.

Fallo de seguridad en el software de USB para escritorio remoto

El escritorio remoto es una característica que muchos usuarios utilizan en su día a día. Especialmente en los últimos meses son muchos los que han comenzado a teletrabajar y eso significa que utilizan herramientas para estar en contacto de forma remota, programas para acceder a distancia a otros equipos, etc.

Todo esto entraña también riesgos si no tomamos las medidas adecuadas. Pueden ocurrir vulnerabilidades como la que mencionamos. En este caso un posible atacante podría agregar dispositivos falsos.

Este fallo de seguridad ha sido registrado como CVE-2020-9332. Está presente en el controlador de USB para escritorio remoto, desarrollado por FabulaTech.

Fue después de notar una actividad inusual desde el núcleo en los equipos de algunos clientes que ejecutan el software FabulaTech, la empresa de seguridad cibernética SentinelOne decidió investigar y centrarse en la raíz del problema.

Esta herramienta permite que el redireccionamiento USB funcione en el escritorio remoto y aparezca como si estuviera conectado en el equipo local. La información de ese dispositivo redirigido se recopila a través del software del lado del cliente y se envía al servidor que se ejecuta en la máquina remota. A través de este controlador, el servidor crea e indica a un objeto virtual que repita toda la comunicación de entrada-salida desde el dispositivo real.

De esta manera, el sistema operativo en el sistema remoto es engañado para creer que un dispositivo USB‌ real está conectado.

Un usuario sin privilegios puede agregar un dispositivo

El problema es que este controlador de FabulaTech permite a un usuario sin privilegios agregar y controlar dispositivos de software en los que el sistema operativo confía, como así indican desde SentinelOne.

Para mostrar su investigación, desde SentinelOne crearon una prueba de concepto. Así mostraron que el controlador de FabulaTech actúa como un relé entre el sistema operativo y un servicio de modo de usuario que obtiene datos del dispositivo real y redirigido.

Los investigadores muestran un escenario malicioso que involucra un puntero de ratón falso que podría usarse para omitir la función de seguridad de Control de cuentas de usuario en Windows. Sin embargo, como cualquier dispositivo USB‌ puede simularse, serían posibles ataques más avanzados, como agregar una tarjeta de red para interceptar el tráfico.

Es de esperar que próximamente haya un parche disponible para resolver el problema. Una vez más se demuestra la importancia de mantener los equipos y sistemas siempre con las últimas versiones instaladas. De esta forma podemos corregir problemas de seguridad.

Os dejamos un artículo donde mostramos las mejores herramientas para el trabajo en remoto.