Es cierto que el hacking sobre los servidores de NVIDIA nos ha dado información suculenta sobre los futuros productos de la compañía liderada por Jensen Huang. No obstante, se trata de un acto delictivo y las verdaderas intenciones y consecuencias de la filtración no han tardado en aparecer. Una de las consecuencias son certificados de NVIDIA con malware o software malicioso.
Una de las formas más intrusivas en la que el software malicioso se puede colar en nuestros ordenadores es en los drivers. Es por ello que estos han de estar certificados oficialmente por los fabricantes y para ello Microsoft en el caso de Windows les entrega una serie de herramientas que les permiten crear drivers con firma oficial. Pues bien, parece ser que con el hacking y filtración a NVIDIA se ha descubierto que cualquiera pueda disfrazar sus programas con intenciones maliciosas como certificados de NVIDIA
El malware que se hace pasar por un certificado de NVIDIA
Bill Demirkapi@BillDemirkapiAs part of the #NvidiaLeaks, two code signing certificates have been compromised. Although they have expired, Windows still allows them to be used for driver signing purposes. See the talk I gave at BH/DC for more context on leaked certificates: https://t.co/UWu3AzHc66 https://t.co/gCrol0BxHd03 de marzo, 2022 • 18:31
687
34
En el código robado a la veterana marca verde de tarjetas gráficas durante la pasada semana se encontraban herramientas para firmar los drivers que permiten hacer que el malware se convierta en confiable para los PC de la gente. Las herramientas generan firmas con fecha entre el 2014 y el 2018, pero a día de hoy es más que suficiente como para que el sistema operativo de los de Redmond lo considera una fuente confiable.
Así pues tendréis que ir con cuidado con los certificados de NVIDIA por culpa del malware que podrían incluir. Estos obviamente no han sido creados por la empresa de Jensen Huang. Uno de esos programas maliciosos es una variante del Quasar RAT, un troyano que da acceso remoto total a tu PC a quien esté conectado desde cualquier parte. Las consecuencias de ello son claras: el en caso de que consigan de que un usuario instale estos certificados con malware podrán robar los datos privados de los usuarios a través de estas aplicaciones.
Por lo que sed precavidos, aseguraos de la fuente de la que llegan estos certificados y no os fieis de ninguno que aparezca en este momento y su fecha sea de hace cuatro años o anterior. En todo caso, para prevenir os recomendamos instalar solo aquellos que venga de forma directa de NVIDIA para curaros en salud y rechazar los drivers que vengan de fuentes terceras.
¿Por qué esto es un acto en contra de nuestra privacidad?
Los de LAPSUS$ ya mostraron su verdadera cara criminal hace unos días, y ahora no solo han alcanzado a NVIDIA sino también a Samsung. Muchos lo interpretarán como un casualidad, pero teniendo en cuenta las relaciones políticas de ciertos países de Latinoamérica con Rusia y el conflicto actual en Ucrania podemos hacer cábalas. Precisamente han atacado a empresas dentro de la órbita estadounidense haciendo uso de métodos de extorsión.
En todo caso y como respuesta a la pregunta que encabeza esta sección, hemos de tener en cuenta cómo funciona un driver y es que se trata de una aplicación con unos niveles de privilegió sobre el sistema mucho más altos de lo normal. Por lo que se ejecutan en un anillo de más privilegio dentro del sistema operativo. Esto significa que tienen acceso a partes de la memoria del sistema que una aplicación normal no puede tener y, por tanto, son mucho más dañinos al ejecutarse en el entorno del sistema operativo y no de las aplicaciones.