Las tecnologías automatizadas de Kaspersky Lab han detectado una vulnerabilidad en Microsoft Windows desconocida hasta ahora. La ha utilizado un grupo cibercriminal desconocido en un intento de hacerse con el control total de un dispositivo concreto. El ataque se lanzó contra el centro del sistema, su núcleo, utilizando un backdoor construido a partir de un elemento esencial del sistema operativo Windows.
Los backdoors o puertas traseras son un tipo de malware extremadamente peligroso, ya que permiten a los actores de amenazas poder controlar de forma muy discreta los dispositivos infectados, con fines maliciosos. Este tipo de privilegios para un tercero suele ser algo difícil de ocultar para una solución de seguridad. Sin embargo, un backdoor que se aprovecha de un error previamente desconocido en el sistema, como las vulnerabilidades zero day, tiene muchas más posibilidades de pasar desapercibido. Las soluciones de seguridad estándares no llegan a identificar esa infección del sistema ni pueden proteger a los usuarios ante algo que no se sabe lo que es ni si existe.
La tecnología de prevención de exploits de Kaspersky Lab ha sido capaz de detectar la vulnerabilidad de Windows
Sin embargo, la tecnología de prevención de exploits de Kaspersky Lab ha sido capaz de detectar el intento de aprovechar una vulnerabilidad desconocida del sistema operativo Windows de Microsoft. El escenario del ataque fue el siguiente: una vez que el archivo malicioso .exe se ejecutó, comenzó la instalación del malware. La infección utilizó una vulnerabilidad zero day y consiguió hacerse con privilegios para permanecer dentro del equipo de la víctima. Utilizando un marco de scripting llamado Windows PowerShell, un elemento legítimo de Windows presente en todas las máquinas que utilizan este sistema operativo, el malware ejecutó un backdoor. Esto permitió a los actores de amenazas actuar sigilosamente y evitar la detección, ahorrándoles tiempo en la escritura del código de las herramientas maliciosas. El malware, a continuación, descargó otro backdoor desde un popular servicio de almacenamiento de texto, dando a los cibercriminales el control total sobre el sistema infectado.
“En el ataque pudimos observar dos tendencias principales que a menudo vemos en las APT (Advanced Persistent Threats). Primero está el uso de exploits de privilegios locales para permanecer dentro de la máquina de la víctima. Segundo es el uso de elementos legítimos, como Windows PowerShell, para llevar a cabo actividades maliciosas dentro de la máquina de la víctima. La combinación de ambas aporta a los actores de amenazas la capacidad de evitar las soluciones de seguridad estándar. Para detectar este tipo de técnicas, la solución de seguridad debe utilizar motores de prevención de vulnerabilidades y de detección de comportamientos”, explica Anton Ivanov, experto de seguridad en Kaspersky Lab,
Las soluciones de Kaspersky Lab detectan los exploits como:
- HEUR:Exploit.Win32.Generic
- HEUR:Trojan.Win32.Generic
- PDM:Exploit.Win32.Generic
Microsoft fue informado de la vulnerabilidad y el parche confeccionado el 10 de abril..