Llegamos a ustedes gracias a:



Alertas de Seguridad

Los ciberdelincuentes burlan la seguridad de Windows

Con un exploit de vulnerabilidad de controladores

[12/01/2023] El grupo de ciberdelincuentes Scattered Spider ha sido observado recientemente intentando desplegar un controlador de kernel malicioso utilizando una táctica llamada bring your own vulnerable driver (BYOVD) -una advertencia a los profesionales de la seguridad de que la técnica, que explota deficiencias de larga data en las protecciones del kernel de Windows, sigue siendo empleada por los ciberdelincuentes, según la empresa de ciberseguridad CrowdStrike.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

En este último ataque BYOVD, que fue observado y detenido por el sistema de seguridad Falcon de CrowdStrike, Scattered Spider intentó desplegar un controlador de kernel malicioso a través de una vulnerabilidad -CVE-2015-2291 en el programa Common Vulnerability and Exposures de MITRE- en el controlador de diagnóstico Intel Ethernet para Windows (iqvw64.sys).

La vulnerabilidad del controlador de diagnóstico Intel Ethernet permite a los usuarios causar una denegación de servicio o posiblemente ejecutar código arbitrario con privilegios de kernel en Windows, según la Base de Datos Nacional de Vulnerabilidades del NIST.

"Los clientes de CrowdStrike deben asegurarse de que tienen la capacidad de localizar y parchear el controlador de pantalla Intel vulnerable especificado en CVE-2015-2291. Priorizar el parcheo de los controladores vulnerables puede ayudar a mitigar este y otros vectores de ataque similares que implican el abuso de controladores firmados", sostuvo CrowdStrike en un blog sobre el exploit Scattered Spider.

¿Qué es BYOVD (bring your own vulnerable driver)?

Los ataques BYOVD suelen utilizar controladores legítimamente firmados, pero vulnerables, para realizar acciones maliciosas en los sistemas. En un ataque BYOVD, el atacante puede utilizar las vulnerabilidades de los controladores para ejecutar acciones maliciosas con privilegios a nivel del núcleo.

"Las herramientas disponibles públicamente, como KDMapper, permiten a los adversarios aprovecharse fácilmente de BYOVD para asignar controladores no firmados a la memoria", afirmó CrowdStrike.

La técnica BYOD se ha utilizado con frecuencia contra Windows durante la última década, y los ciberdelincuentes continúan utilizándola porque el sistema operativo no ha estado actualizando correctamente su lista de bloqueo de controladores vulnerables, según los investigadores.

En el 2021, Microsoft declaró que los controladores con vulnerabilidades de seguridad confirmadas se bloquearían por defecto en los dispositivos Windows 10 con Hypervisor-Protected Code Integrity (HVCI) activado, mediante listas de bloqueo que se actualizan automáticamente a través de Windows Update.

Los controladores vulnerables siguen siendo un problema para Windows

Sin embargo, varios investigadores y empresas de ciberseguridad, incluida Sophos, han observado que los ataques BYOD exitosos contra Windows han continuado, y las listas de bloqueo de controladores vulnerables utilizados por las funciones de seguridad de Windows no parecen actualizarse regularmente.

Después de que se informara de los exploits BYOVD a finales del 2022, Microsoft emitió varias declaraciones indicando que estaba trabajando en el problema, por ejemplo, señalando a Ars Technica: "La lista de controladores vulnerables se actualiza regularmente; sin embargo, hemos recibido comentarios de que ha habido una brecha en la sincronización a través de las versiones del sistema operativo. Lo hemos corregido y se revisará en las próximas actualizaciones de Windows. La página de documentación se actualizará a medida que se publiquen nuevas actualizaciones".

Pero los ataques BYOVD persisten. CrowdStrike sostuvo que Scattered Spider intentó "utilizar el espacio privilegiado del controlador proporcionado por el controlador Intel vulnerable para sobrescribir rutinas específicas en el controlador del sensor CrowdStrike Falcon ... esto fue impedido por el sensor Falcon e inmediatamente escalado al cliente con análisis humano".

En los últimos meses, se observó que Scattered Spider intentaba eludir otras herramientas para puntos finales, como Microsoft Defender for Endpoint, Palo Alto Networks Cortex XDR y SentinelOne, señaló CrowdStrike.

La compañía anotó que ha identificado varias versiones de un controlador malicioso que están firmadas por diferentes certificados y autoridades, incluyendo certificados robados originalmente emitidos a Nvidia y Global Software LLC, y un certificado de prueba autofirmado.

"La intención del adversario es deshabilitar las capacidades de visibilidad y prevención de los productos de seguridad de punto final para que el actor pueda avanzar en sus acciones sobre los objetivos", indicó CrowdStrike.

La ingeniería social proporciona el acceso inicial

En la mayoría de las investigaciones realizadas por CrowdStrike desde junio del 2022, el acceso inicial a los sistemas fue logrado por Scattered Spider a través de ingeniería social, donde el adversario aprovechó llamadas telefónicas, SMS y / o mensajes de Telegram para hacerse pasar por personal de TI. 

En un informe de diciembre en el que se detallan estos métodos de acceso, la compañía dijo que, en los ataques, el adversario instruía a las víctimas a navegar a un sitio web de recolección de credenciales que contenía el logotipo de la empresa e introducir sus credenciales, o descargar una herramienta de gestión de monitoreo remoto que permitiría al adversario conectarse de forma remota y controlar su sistema.

Si la autenticación multifactor (MFA) estaba activada, el adversario se dirigía directamente a la víctima convenciéndola de que compartiera su contraseña de un solo uso, o indirectamente, preguntando continuamente al usuario víctima hasta que aceptara el desafío MFA push, dijo CrowdStrike.

"Una vez obtenido el acceso, el adversario evita el uso de malware único, favoreciendo en su lugar una amplia gama de herramientas legítimas de gestión remota para mantener el acceso persistente", indicó CrowdStrike.

Scattered Spider -también conocido como Roasted 0ktapus, y UNC3944- ha estado ocupado. En su informe de diciembre, CrowdStrike atribuyó (con poca confianza) a Scattered Spider una campaña de intrusión dirigida a empresas de telecomunicaciones y de externalización de procesos empresariales (BPO).

Aunque CrowdStrike dijo esta semana que la última actividad BYOVD también parece dirigirse a industrias específicas, las organizaciones de todos los sectores deben aplicar las mejores prácticas de seguridad para defenderse de los controladores vulnerables, así como los ataques que comprenden otros exploits.

"Como el adversario está aprovechando en gran medida las cuentas válidas como vector de acceso inicial, se recomienda encarecidamente un escrutinio adicional de la actividad de inicio de sesión legítima y las aprobaciones de autenticación de dos factores de activos, cuentas o ubicaciones inesperadas", indicó CrowdStrike.

La compañía también recomienda que las organizaciones empleen un enfoque riguroso de defensa en profundidad que supervise los puntos finales, las cargas de trabajo en la nube y las identidades y redes, para defenderse de los adversarios avanzados y persistentes.

CrowdStrike también ofrece recomendaciones de buenas prácticas a sus propios clientes, sugiriendo configuraciones de la plataforma Falcon que pueden prevenir y poner en cuarentena la actividad BYOVD descrita en su informe.