Detectan un exploit contra una vulnerabilidad de Windows recién parcheada

RECOMENDADOS: Tecnologías que dan al dato el protagonismo que merece (WEBINAR)  Cinco retos de la innovación en cloud Informe IT Trends 2019: La realidad digital de la empresa española Mejores prácticas para implementar una plataforma ágil Robo de credenciales: prioriza la seguridad de tus apps Instalación de Redes WiFi y LAN en Hoteles

Las tecnologías automatizadas de Kaspersky Lab han detectado una vulnerabilidad previamente desconocida en Microsoft Windows, la cual ha sido explotada por un grupo criminal no identificado en un intento de ganar el control total sobre un dispositivo específico. El ataque estaba dirigido al núcleo del sistema, su kernel, a través de un backdoor construido a partir de un elemento esencial del sistema operativo Windows. La vulnerabilidad fue reportada a Microsoft y parcheada el 10 de abril.

Los backdoors son un tipo de malware extremadamente peligroso, ya que permiten que los actores de amenazas controlen las máquinas infectadas de manera discreta con fines maliciosos. La escalada de privilegios de un tercero generalmente es difícil de ocultar de las soluciones de seguridad. Sin embargo, un backdoor que explota un error previamente desconocido en el sistema, una vulnerabilidad de día cero, tiene muchas más oportunidades de volar bajo el radar. Las soluciones de seguridad comunes no pueden reconocer la infección del sistema ni pueden proteger a los usuarios de la amenaza desconocida. Sin embargo, la tecnología Exploit Prevention de Kaspersky Lab fue capaz de detectar el intento de explotar la vulnerabilidad desconocida de Windows.

El escenario de ataque encontrado fue el siguiente: una vez que se inició el archivo .exe malicioso, se inició la instalación del malware. La infección explotó una vulnerabilidad de día cero y logró privilegios para la persistencia exitosa en la máquina de la víctima. El malware inició el lanzamiento de un backdoor desarrollado con un elemento legítimo de Windows, presente en todas las máquinas que se ejecutan en este sistema operativo: un framework de scripting llamado Windows PowerShell. Esto permitió a los actores de amenazas ser sigilosos y evitar la detección, ahorrándoles tiempo al escribir el código para las herramientas maliciosas. El malware luego descargó otro backdoor de un servicio de almacenamiento de texto legítimo popular, que a su vez dio a los criminales el control total sobre el sistema infectado.

“En este ataque, observamos dos tendencias principales que a menudo vemos en amenazas persistentes avanzadas (APT). Primero, el uso de exploits de escalada de privilegios locales para persistir con éxito en la máquina de la víctima. Segundo, el uso frameworks legítimos, como Windows PowerShell, para desarrollar actividad maliciosa en la máquina de la víctima. Esta combinación brinda a los actores de amenazas la capacidad de evitar las soluciones de seguridad estándar. Para detectar este tipo de técnicas, la solución de seguridad debe utilizar motores de prevención de vulnerabilidades y detección de comportamientos”, explica Anton Ivanov, experto en seguridad de Kaspersky Lab.