Las tecnologías automatizadas de Kaspersky Lab han detectado una
vulnerabilidad en Microsoft Windows desconocida hasta ahora. La ha
utilizado un grupo cibercriminal desconocido en un intento de hacerse
con el control total de un dispositivo concreto. El ataque se lanzó
contra el centro del sistema, su núcleo, utilizando un backdoor
construido a partir de un elemento esencial del sistema operativo
Windows.
Los backdoors o puertas traseras son un tipo de malware
extremadamente peligroso, ya que permiten a los actores de amenazas
poder controlar de forma muy discreta los dispositivos infectados, con
fines maliciosos. Este tipo de privilegios para un tercero suele ser
algo difícil de ocultar para una solución de seguridad. Sin embargo, un
backdoor que se aprovecha de un error previamente desconocido en el
sistema, como las vulnerabilidades zero day, tiene muchas más
posibilidades de pasar desapercibido. Las soluciones de seguridad
estándares no llegan a identificar esa infección del sistema ni pueden
proteger a los usuarios ante algo que no se sabe lo que es ni si existe.
La tecnología de prevención de exploits de Kaspersky Lab ha sido capaz de detectar la vulnerabilidad de Windows
Sin
embargo, la tecnología de prevención de exploits de Kaspersky Lab ha
sido capaz de detectar el intento de aprovechar una vulnerabilidad
desconocida del sistema operativo Windows de Microsoft. El escenario del
ataque fue el siguiente: una vez que el archivo malicioso .exe se
ejecutó, comenzó la instalación del malware. La infección utilizó una
vulnerabilidad zero day y consiguió hacerse con privilegios para
permanecer dentro del equipo de la víctima. Utilizando un marco de
scripting llamado Windows PowerShell, un elemento legítimo de Windows
presente en todas las máquinas que utilizan este sistema operativo, el
malware ejecutó un backdoor. Esto permitió a los actores de amenazas
actuar sigilosamente y evitar la detección, ahorrándoles tiempo en la
escritura del código de las herramientas maliciosas. El malware, a
continuación, descargó otro backdoor desde un popular servicio de
almacenamiento de texto, dando a los cibercriminales el control total
sobre el sistema infectado.
“En el ataque pudimos observar dos
tendencias principales que a menudo vemos en las APT (Advanced
Persistent Threats). Primero está el uso de exploits de privilegios
locales para permanecer dentro de la máquina de la víctima. Segundo es
el uso de elementos legítimos, como Windows PowerShell, para llevar a
cabo actividades maliciosas dentro de la máquina de la víctima. La
combinación de ambas aporta a los actores de amenazas la capacidad de
evitar las soluciones de seguridad estándar. Para detectar este tipo de
técnicas, la solución de seguridad debe utilizar motores de prevención
de vulnerabilidades y de detección de comportamientos”, explica Anton
Ivanov, experto de seguridad en Kaspersky Lab,
Las soluciones de Kaspersky Lab detectan los exploits como:
- HEUR:Exploit.Win32.Generic
- HEUR:Trojan.Win32.Generic
- PDM:Exploit.Win32.Generic
Microsoft fue informado de la vulnerabilidad y el parche confeccionado el 10 de abril.
1 Comentarios
Buen aporte
ResponderEliminar