por Se vio a piratas informáticos chinos usando dos herramientas de código abierto para firmar y cargar controladores de modo kernel maliciosos en puntos finales comprometidos.
Según los investigadores de seguridad cibernética de Cisco Talos que vieron la campaña, otorga a los atacantes el mayor nivel posible de privilegios. «Esta es una gran amenaza, porque el acceso al kernel da acceso completo a un sistema y, por lo tanto, un compromiso total», dijeron en su análisis.
Las dos herramientas de código abierto en cuestión se llaman HookSignalTool y FuckCertVerifyTimeValidity. Estos dos han existido durante casi cinco años y están disponibles para descargar en GitHub. Su función principal es permitir que los trucos de juego alteren los juegos y obtengan una ventaja injusta.
Pero esta vez, los piratas informáticos chinos lo usaron en sistemas previamente comprometidos para modificar la fecha de firma de los controladores maliciosos antes del 29 de julio de 2015. Al cambiar la fecha, podrían usar controladores maliciosos más antiguos, cargarlos en el sistema operativo y así obtener capacidades de administración del sistema.
Luego, los investigadores presentaron un ejemplo del mundo real. Usaron HookSignTool para cargar un controlador malicioso llamado «RedDriver», que les ayudó a bloquear el tráfico de los navegadores más populares del mundo: Chrome, Edge y Firefox. También pudieron bloquear el tráfico a través de navegadores populares en China.
«FuckCertVerifyTimeValidity funciona de manera similar a HookSignTool en el sentido de que utiliza el paquete Microsoft Detours para adjuntarlo a la llamada API «CertVerifyTimeValidity» y establece la marca de tiempo en la fecha seleccionada», dijeron los investigadores. «A diferencia de HookSignTool, FuckCertVerifyTimeValidity no deja artefactos en los archivos binarios que firma, por lo que es muy difícil determinar cuándo se utilizó esta herramienta».
Análisis: ¿Por qué es importante?
No todas las vulnerabilidades son iguales. Algunos son más difíciles de abusar, mientras que otros tienen exploits disponibles en la naturaleza. Vulnerabilidades como esta, con exploits funcionales que incluso los piratas informáticos poco calificados pueden obtener y usar fácilmente, son extremadamente peligrosas. Esta falla es aún más peligrosa porque se sabe que fue detectada por piratas informáticos chinos. Estos actores de amenazas, especialmente si están patrocinados por el estado, siempre están buscando nuevas formas y sus objetivos suelen ser el espionaje cibernético, datos y el robo de identidady la interrupción de los sistemas de infraestructura crítica. Al identificar y bloquear estas vías, los expertos en seguridad cibernética mejoran en gran medida la postura general de seguridad cibernética de las principales organizaciones en sus países.
En este caso particular, los ciberdelincuentes están utilizando una técnica conocida como Traiga su propio controlador vulnerable (BYOVD). Es una técnica popular con una premisa simple: instale un controlador antiguo con una vulnerabilidad conocida en un sistema y luego use esa vulnerabilidad para obtener acceso, aumentar los privilegios y, en última instancia, instalar malware.
Para defenderse de esta amenaza, los investigadores de Cisco Talos recomiendan bloquear todos los certificados antes mencionados. aquí, ya que a los equipos de TI les resultará difícil detectar los controladores maliciosos por sí mismos. Además, se bloquean de manera más efectiva en función de los hashes de archivos o los certificados utilizados para firmarlos. Los investigadores también dijeron que Microsoft ha bloqueado todos los certificados antes mencionados y que los usuarios pueden consultar el aviso de Microsoft para obtener más información.
“Microsoft implementa y mantiene una lista de controladores bloqueados dentro de Windows, aunque se centra en los controladores vulnerables en lugar de los maliciosos”, dijeron. «Por lo tanto, no se debe confiar en esta lista de bloqueo únicamente para bloquear rootkits o controladores maliciosos».
¿Qué han dicho otros sobre los ataques?
A partir de este escrito, Ars Technica criticó temporalmente a Microsoft, diciendo que continúa abordando el problema de los controladores maliciosos que se utilizan en situaciones posteriores a la explotación como un juego de whack-a-mole. «La estrategia es bloquear los controladores que se sabe que se usan maliciosamente pero no hacen nada para cerrar el agujero», dijo. “Eso permite a los atacantes usar libremente un nuevo conjunto de controladores para hacer lo mismo. Como se demostró en el pasado y nuevamente en la actualidad, Microsoft a menudo no detecta los controladores que se han usado maliciosamente durante muchos años.
Sin embargo, el mismo artículo enfatiza que es difícil encontrar una solución que funcione porque muchos controladores vulnerables todavía son utilizados, legítimamente, por muchos clientes que pagan. «Recuperar dichos controladores puede causar que el software de importancia mundial deje de funcionar repentinamente».
El lado positivo, según la publicación, es que para que la falla funcione, el sistema debe explotarse temprano, para que la mejor defensa no se vea comprometida en primer lugar.
computadora pitido, por otro lado, contactó a Microsoft y le dijeron que la falla no obtendría un CVE porque la compañía no lo ve como una vulnerabilidad. «Si bien los certificados descubiertos por Cisco y Sophos ahora han sido revocados, el riesgo está lejos de eliminarse, ya que es probable que los certificados adicionales permanezcan expuestos o sean robados, lo que permite que los actores de amenazas continúen abusando de este agujero en la política de Windows», indicó la publicación. Recuerda que Sophos encontró más de cien controladores de kernel maliciosos utilizados como «EDR Killers» para cerrar el software de seguridad.
profundizarlo
Si quieres saber más, empieza a leer hasta Los últimos movimientos de Microsoft para evitar que tales ataques sucedan en primer lugar. Después de eso, asegúrese de revisar nuestra lista de mejor programa antivirus alrededor, también mejor eliminación de malware programas Finalmente, debe leer nuestra guía detallada sobre mejores cortafuegos hoy.
