En el seu primer Patch Tuesday de 2026, el 13 de gener, Microsoft va fer una cosa que no es veu cada dia: en lloc d’aplicar un pegat a un driver vulnerable, el va treure de Windows del tot. Parlem del driver de tercers Agere Soft Modem, afectat per la vulnerabilitat CVE-2023-31096, una escalada de privilegis local que feia anys que viatjava dins de versions suportades del sistema operatiu.
Què és la vulnerabilitat
CVE-2023-31096 és una vulnerabilitat d’elevació de privilegis (Elevation of Privilege) en el driver de mode kernel del soft-modem Agere/LSI/Broadcom, present en el binari AGRSM64.sys fins a la versió 2.2.100.1. El problema neix en un gestor IOCTL que fa un ús insegur de memòria: un desbordament de pila per una còpia tipus RTLCopyMemory que no valida el que tocaria.
Com que el driver viu al kernel, un atacant que ja pugui executar codi amb privilegis d’usuari estàndard (integritat mitjana) hi té una palanca per escalar fins a SYSTEM, el màxim privilegi a Windows. Amb això, un accés limitat passa a ser control total de la màquina: instal·lar programari, tocar serveis de seguretat o deixar-hi persistència.
A qui afecta
El driver venia dins d’imatges suportades de Windows, així que el component vulnerable podia ser-hi fins i tot en equips que fa temps que no toquen un mòdem analògic. A la pràctica, el risc apunta a sistemes Windows amb els drivers Agere instal·lats i, de manera més evident, a equips que encara depenen de mòdems analògics, mòdems de fax o adaptadors soft-modem amb xipsets Agere/LSI/Broadcom.
Gravetat
Es classifica amb severitat alta. Hi ha dos motius per a aquesta nota: el problema ja havia estat explotat per obtenir privilegis administratius i circulaven proves de concepte públiques per a aquesta família de drivers. L’explotació necessita accés local previ, d’acord, però una escalada a SYSTEM és de les peces que més es repeteixen en una cadena d’atac un cop l’atacant ja és a dins.
Mitigació i pegat
Microsoft va optar per retirar el driver vulnerable de Windows al Patch Tuesday de gener de 2026, en lloc de pedaçar un codi de tercers abandonat que difícilment aguantaria el pegat. Segons la documentació del fabricant, l’actualització acumulativa va eliminar els binaris agrsm64.sys i agrsm.sys, juntament amb components sèrie relacionats com smserl64.sys i smserial.sys.
Treure el driver esborra la superfície d’atac a l’instant, però deixa una factura clara: els dispositius que depenien d’aquests drivers deixaran de funcionar. El més raonable és:
- Aplicar l’actualització de gener de 2026 en equips que no depenguin d’aquests mòdems.
- Inventariar quins sistemes fan servir de debò els drivers Agere.
- Substituir el maquinari heretat per alternatives modernes o aconseguir drivers signats pel proveïdor si n’hi ha.
- Aïllar en xarxes segmentades, de manera temporal, els equips que encara necessitin el maquinari afectat.
El cas resumeix bé una cosa cada cop més habitual: quan el codi d’un tercer està abandonat i es pot explotar de manera demostrable, surt més a compte treure’l que sostenir un pegat sobre uns fonaments que no s’aguanten. Aquesta mateixa idea de reduir superfície d’atac i privilegis és la que mou les eines de control d’accés obligatori a Linux com SELinux i AppArmor.
Si gestiones equips Windows, fes un cop d’ull també a la resta del Patch Tuesday de gener de 2026, que va corregir 114 errors, tres d’ells zero-days. I per situar el sistema afectat, tens la fitxa de Windows Desktop.