RtsPer.sys: cómo un pequeño controlador casi se convierte en una amenaza global

En los lectores de tarjetas SD de Realtek se han descubierto vulnerabilidades graves, que amenazan la seguridad de portátiles de los principales fabricantes mundiales, incluidos Dell y Lenovo. Los problemas están relacionados con el controlador "RtsPer.sys", que permite a los atacantes sin privilegios de administrador de Windows leer y escribir en la memoria física del dispositivo, así como acceder al núcleo del sistema.

Las vulnerabilidades se descubrieron por primera vez en enero de 2022 al analizar dispositivos en el sistema Windows Object Manager. El controlador presentaba permisos de acceso demasiado abiertos, lo que permitió un análisis más profundo de sus vulnerabilidades. En abril de 2022, Realtek lanzó la primera versión corregida, pero uno de los problemas clave relacionados con el acceso a través del controlador DMA pasó desapercibido. Esta omisión solo se descubrió un año después durante una revisión.

El problema afecta a varios modelos de lectores de tarjetas SD, incluidos RTS5260 y RTS5228, y se utiliza en portátiles de fabricantes como Dell, HP, Lenovo y MSI. Además, las vulnerabilidades permiten a los atacantes extraer datos del núcleo, gestionar la memoria y eludir los mecanismos de protección del sistema operativo.

Aunque Realtek ya en 2022 afirmó haber corregido cinco vulnerabilidades ( CVE-2022-25476, CVE-2022-25477, CVE-2022-25478, CVE-2022-25479 y CVE-2022-25480 ), la vulnerabilidad CVE-2022-25476 no se resolvió por completo hasta el lanzamiento de la reciente actualización. Junto con ella, se corrigieron otras dos nuevas vulnerabilidades: CVE-2024-40431 y CVE-2024-40432.

Uno de los errores más peligrosos fue el CVE-2022-25479, una fuga de datos del núcleo, que abre el camino a más ataques contra el sistema. Otras vulnerabilidades, como CVE-2022-25480 y CVE-2024-40431, permiten escribir datos en direcciones arbitrarias del núcleo, creando la posibilidad de tomar el control del sistema. Estos problemas aumentan significativamente el riesgo de explotación, especialmente en sistemas donde el controlador no se ha actualizado a la versión 10.0.26100.21374 o superior.

Inicialmente, el investigador responsable del descubrimiento de estas vulnerabilidades planeaba proporcionar información completa sobre las correcciones, incluyendo la fecha exacta de lanzamiento, enlaces de descarga y otros datos útiles. Sin embargo, con el tiempo, la interacción con Realtek se volvió extremadamente difícil: la empresa comenzó a responder cada vez más lentamente y de manera menos dispuesta, por lo que se decidió abandonar la recopilación de estos datos.

Se recomienda encarecidamente a los usuarios que verifiquen la disponibilidad de actualizaciones para sus dispositivos. Si el lector de tarjetas SD está gestionado a través de "RtsPer.sys", es importante instalar la última versión del controlador para evitar posibles ataques.