Detectan un exploit contra una vulnerabilidad de Windows recién parcheada
- Vulnerabilidades
En este ataque se observan dos tendencias: el uso de exploits de escalada de privilegios locales para persistir con éxito en la máquina de la víctima, y el uso de frameworks legítimos, como Windows PowerShell, para desarrollar actividad maliciosa en la máquina de la víctima.
Las tecnologías automatizadas de Kaspersky Lab han detectado una vulnerabilidad previamente desconocida en Microsoft Windows, la cual ha sido explotada por un grupo criminal no identificado en un intento de ganar el control total sobre un dispositivo específico. El ataque estaba dirigido al núcleo del sistema, su kernel, a través de un backdoor construido a partir de un elemento esencial del sistema operativo Windows. La vulnerabilidad fue reportada a Microsoft y parcheada el 10 de abril.
Los backdoors son un tipo de malware extremadamente peligroso, ya que permiten que los actores de amenazas controlen las máquinas infectadas de manera discreta con fines maliciosos. La escalada de privilegios de un tercero generalmente es difícil de ocultar de las soluciones de seguridad. Sin embargo, un backdoor que explota un error previamente desconocido en el sistema, una vulnerabilidad de día cero, tiene muchas más oportunidades de volar bajo el radar. Las soluciones de seguridad comunes no pueden reconocer la infección del sistema ni pueden proteger a los usuarios de la amenaza desconocida. Sin embargo, la tecnología Exploit Prevention de Kaspersky Lab fue capaz de detectar el intento de explotar la vulnerabilidad desconocida de Windows.
El escenario de ataque encontrado fue el siguiente: una vez que se inició el archivo .exe malicioso, se inició la instalación del malware. La infección explotó una vulnerabilidad de día cero y logró privilegios para la persistencia exitosa en la máquina de la víctima. El malware inició el lanzamiento de un backdoor desarrollado con un elemento legítimo de Windows, presente en todas las máquinas que se ejecutan en este sistema operativo: un framework de scripting llamado Windows PowerShell. Esto permitió a los actores de amenazas ser sigilosos y evitar la detección, ahorrándoles tiempo al escribir el código para las herramientas maliciosas. El malware luego descargó otro backdoor de un servicio de almacenamiento de texto legítimo popular, que a su vez dio a los criminales el control total sobre el sistema infectado.
“En este ataque, observamos dos tendencias principales que a menudo vemos en amenazas persistentes avanzadas (APT). Primero, el uso de exploits de escalada de privilegios locales para persistir con éxito en la máquina de la víctima. Segundo, el uso frameworks legítimos, como Windows PowerShell, para desarrollar actividad maliciosa en la máquina de la víctima. Esta combinación brinda a los actores de amenazas la capacidad de evitar las soluciones de seguridad estándar. Para detectar este tipo de técnicas, la solución de seguridad debe utilizar motores de prevención de vulnerabilidades y detección de comportamientos”, explica Anton Ivanov, experto en seguridad de Kaspersky Lab.