Microsoft: Windows, Adobe Zero-Day utilizado para hackear usuarios de Windows

El Microsoft Threat Intelligence Center (MSTIC) y el Microsoft Security Response Center (MSRC) el miércoles reclamado que encontraron un actor ofensivo del sector privado (PSOA) con sede en Austria que explota múltiples vulnerabilidades de día cero de Windows y Adobe en "ataques limitados y dirigidos" contra clientes europeos y centroamericanos.

Para los inexpertos, las PSOA son empresas privadas que fabrican y venden armas cibernéticas en paquetes de piratería como servicio, a menudo a agencias gubernamentales de todo el mundo, para piratear las computadoras, teléfonos, infraestructura de red y otros dispositivos de sus objetivos.

El PSOA con sede en Austria llamado DSIRF, que Microsoft había denominado Knotweed, se ha relacionado con el desarrollo y el intento de venta de un conjunto de herramientas de malware llamado "Subzero".

DSIRF se promociona a sí misma en el sitio web como una empresa que proporciona "servicios a la medida de la misión en los campos de investigación de la información, análisis forense e inteligencia basada en datos para corporaciones multinacionales en los sectores de tecnología, comercio minorista, energía y finanzas" y tiene "una conjunto de técnicas altamente sofisticadas en la recolección y análisis de información”.

El gigante de Redmond dijo que DSIRF, con sede en Austria, pertenece a un grupo de mercenarios cibernéticos que venden herramientas o servicios de piratería a través de una variedad de modelos comerciales. Dos modelos comunes para este tipo de actor son el acceso como servicio y la piratería.

MSTIC descubrió que el malware Subzero estaba circulando en las computadoras a través de una variedad de métodos, incluidas las vulnerabilidades de día cero en Windows y Adobe Reader, en los años 2021 y 2022.

Como parte de su investigación sobre la utilidad de este malware, las comunicaciones de Microsoft con una víctima de Subzero revelaron que no habían autorizado ningún equipo rojo o prueba de penetración, y confirmaron que se trataba de una actividad maliciosa no autorizada.

“Las víctimas observadas hasta la fecha incluyen firmas de abogados, bancos y consultorías estratégicas en países como Austria, Reino Unido y Panamá. Es importante tener en cuenta que la identificación de objetivos en un país no significa necesariamente que un cliente de DSIRF resida en el mismo país, ya que la orientación internacional es común, "Microsoft escribió en una entrada de blog detallada.

“MSTIC ha encontrado múltiples vínculos entre DSIRF y los exploits y el malware utilizado en estos ataques. Estos incluyen la infraestructura de comando y control utilizada por el malware que se vincula directamente a DSIRF, una cuenta de GitHub asociada a DSIRF que se usa en un ataque, un certificado de firma de código emitido a DSIRF que se usa para firmar un exploit y otros informes de noticias de código abierto. atribuyendo Subzero a DSIRF".

En mayo de 2022, Microsoft detectó una ejecución remota de código (RCE) de Adobe Reader y una cadena de exploits de escalada de privilegios de Windows de 0 días que se usaban en un ataque que condujo a la implementación de Subzero.

“Los exploits se empaquetaron en un documento PDF que se envió a la víctima por correo electrónico. Microsoft no pudo adquirir la porción de PDF o Adobe Reader RCE de la cadena de explotación, pero la versión de Adobe Reader de la víctima se lanzó en enero de 2022, lo que significa que la explotación utilizada fue una explotación de 1 día desarrollada entre enero y mayo, o una Exploit de día 0”, explicó la compañía.

Basado en el uso extensivo de DSIRF de días cero adicionales, Microsoft cree que Adobe Reader RCE fue de hecho un exploit de día cero. El exploit de Windows fue analizado por MSRC, se encontró que era un exploit de 0 días y luego se parcheó en julio de 2022 como CVE-2022-22047 en el subsistema de tiempo de ejecución del servidor/cliente de Windows (csrss.exe).

Los exploits de la compañía austriaca también se vinculan a dos exploits de escalada de privilegios de Windows anteriores (CVE-2021-31199 y CVE-2021-31201) que se utiliza junto con un exploit de Adobe Reader (CVE-2021-28550), todos los cuales fueron parcheados en junio de 2021.

En 2021, el grupo de mercenarios cibernéticos también estuvo vinculado a la explotación de un cuarto día cero, una falla de escalada de privilegios de Windows en el servicio Windows Update Medic (CVE-2021-36948), lo que permitió a un atacante obligar al servicio a cargar una DLL firmada arbitrariamente.

Para mitigar tales ataques, Microsoft ha recomendado a sus clientes que:

  • Priorizar el parcheo de CVE-2022-22047.
  • Confirme que Microsoft Defender Antivirus esté actualizado a la actualización de inteligencia de seguridad 1.371.503.0 o posterior para detectar los indicadores relacionados.
  • Utilice los indicadores de compromiso incluidos para investigar si existen en su entorno y evaluar posibles intrusiones.
  • Cambiar la configuración de seguridad de las macros de Excel para controlar qué macros se ejecutan y en qué circunstancias al abrir un libro. Los clientes también pueden detener macros XLM o VBA maliciosas mediante el escaneo de macros en tiempo de ejecución por parte de Antimalware, lo que garantiza que la interfaz de escaneo (AMSI) esté activada.
  • Habilite la autenticación multifactor (MFA) para mitigar las credenciales potencialmente comprometidas y garantizar que se aplique MFA para toda la conectividad remota.
  • Revise toda la actividad de autenticación para la infraestructura de acceso remoto, centrándose en las cuentas configuradas con autenticación de un solo factor, para confirmar la autenticidad e investigar cualquier actividad anormal.

Además de usar medios técnicos para interrumpir Knotweed, Microsoft también ha presentado testimonio escrito a la Audiencia del Comité Selecto Permanente de Inteligencia de la Cámara de Representantes sobre "Combatir las amenazas a la seguridad nacional de los EE. UU. provenientes de la proliferación de spyware comercial extranjero".

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Ver más

  • Responsable: Susana Natividad Gomez.
  • Finalidad:  Moderar los comentarios.
  • Legitimación:  Por consentimiento del interesado.
  • Destinatarios y encargados de tratamiento:  No se ceden o comunican datos a terceros para prestar este servicio.
  • Derechos: Acceder, rectificar y suprimir los datos.
  • Información Adicional: Puede consultar la información detallada en la Política de Privacidad.

Subir
Utilizamos cookies para una mejor experiencia. Al utilizar nuestro sitio web, usted acepta todas las cookies de acuerdo con nuestra Política de Cookies.    Configurar y más información
Privacidad