Noticias - Actualidad
30 abril 2019

KASPERSKY LAB identifica una vulnerabilidad crítica en Windows utilizada por un grupo cibercriminal desconocido

Las tecnologías automatizadas de Kaspersky Lab han detectado una vulnerabilidad en Microsoft Windows desconocida hasta ahora. La ha utilizado un grupo cibercriminal desconocido en un intento de hacerse con el control total de un dispositivo concreto.

El ataque se lanzó contra el centro del sistema, su núcleo, utilizando un backdoor construido a partir de un elemento esencial del sistema operativo Windows. Los backdoors o puertas traseras son un tipo de malware extremadamente peligroso, ya que permiten a los actores de amenazas poder controlar de forma muy discreta los dispositivos infectados, con fines maliciosos. Este tipo de privilegios para un tercero suele ser algo difícil de ocultar para una solución de seguridad. Sin embargo, un backdoor que se aprovecha de un error previamente desconocido en el sistema, como las vulnerabilidades zero day, tiene muchas más posibilidades de pasar desapercibido. Las soluciones de seguridad estándares no llegan a identificar esa infección del sistema ni pueden proteger a los usuarios ante algo que no se sabe lo que es ni si existe.

Sin embargo, la tecnología de prevención de exploits de Kaspersky Lab ha sido capaz de detectar el intento de aprovechar una vulnerabilidad desconocida del sistema operativo Windows de Microsoft. El escenario del ataque fue el siguiente: una vez que el archivo malicioso .exe se ejecutó, comenzó la instalación del malware.

La infección utilizó una vulnerabilidad zero day y consiguió hacerse con privilegios para permanecer dentro del equipo de la víctima.

Utilizando un marco de scripting llamado Windows PowerShell, un elemento legítimo de Windows presente en todas las máquinas que utilizan este sistema operativo, el malware ejecutó un backdoor. Esto permitió a los actores de amenazas actuar sigilosamente y evitar la detección, ahorrándoles tiempo en la escritura del código de las herramientas maliciosas. El malware, a continuación, descargó otro backdoor desde un popular servicio de almacenamiento de texto, dando a los cibercriminales el control total sobre el sistema infectado.

“En el ataque pudimos observar dos tendencias principales que a menudo vemos en las APT (Advanced Persistent Threats). Primero está el uso de exploits de privilegios locales para permanecer dentro de la máquina de la víctima. Segundo es el uso de elementos legítimos, como Windows PowerShell, para llevar a cabo actividades maliciosas dentro de la máquina de la víctima. La combinación de ambas aporta a los actores de amenazas la capacidad de evitar las soluciones de seguridad estándar. Para detectar este tipo de técnicas, la solución de seguridad debe utilizar motores de prevención de vulnerabilidades y de detección de comportamientos”, explica Anton Ivanov, experto de seguridad en Kaspersky Lab,

Las soluciones de Kaspersky Lab detectan los exploits como:

  • HEUR:Exploit.Win32.Generic
  • HEUR:Trojan.Win32.Generic
  • PDM:Exploit.Win32.Generic

Microsoft fue informado de la vulnerabilidad y el parche confeccionado el 10 de abril..

Para evitar la instalación de backdoor a través de la vulnerabilidad de zero day de Windows, Kaspersky Lab recomienda tomar las siguientes medidas de seguridad:

  • Una vez que la vulnerabilidad está parcheada y el parche descargado, los actores de amenazas pierden la oportunidad de utilizarla. Instalar el parche disponible de Microsoft cuanto antes.
  • Asegurarse de que actualizamos regularmente todo el software de la organización, sobre todo cuando hay un nuevo parche disponible. Los productos de seguridad que cuentan con funciones de evaluación de vulnerabilidades y gestión de parches pueden ayudar a automatizar estos procesos.
  • Utilizar una solución de seguridad probada, como Kaspersky Endpoint Security, que dispone de funciones de detección basadas en comportamiento para protegerse frente a amenazas desconocidas.
  • Asegurarse de que el equipo de seguridad tiene acceso a la información más reciente sobre ciberamenazas. Los clientes de Kaspersky Intelligence Reporting disponen de acceso a informes privados sobre los últimos desarrollos en el panorama de amenazas. Más información en intelreports@kaspersky.com
  • Finalmente, asegurarse que la plantilla está formada en las medidas más elementales de ciberseguridad.

Para más información sobre el nuevo exploit, lea el informe complete en Securelist.

Para observar más de cerca las tecnologías que detectaron esta y otras vulnerabilidades de día cero en Microsoft Windows, puede descargarse un webinar grabado de Kaspersky Lab

¿Te ha parecido útil este contenido?