Microsoft confirma que usuarios de Windows están siendo atacados con un día cero
Microsoft ha demostrado lo importante que es aplicar actualizaciones de seguridad lo antes posible, con la confirmación de cómo una vulnerabilidad de día cero solucionada en el lanzamiento del ‘Patch Tuesday’ de julio se está utilizando en ataques dirigidos.
Y es que Microsoft ha vinculado un grupo de amenazas conocido como Knotweed con un proveedor de spyware austriaco que también opera como un equipo de mercenarios cibernéticos llamado DSIRF. DSIRF apunta a entidades europeas y centroamericanas que utilizan un conjunto de herramientas de malware denominado Subzero.
En su sitio web, DSIRF se promociona a sí misma como una empresa que brinda servicios de investigación de información, análisis forense e inteligencia basada en datos a corporaciones.
Sin embargo, se ha relacionado con el desarrollo del malware Subzero que sus clientes pueden usar para diversas tareas. Por ejemplo: hackear teléfonos, computadoras y dispositivos de red conectados a Internet de los objetivos.
DSIRF
Usando datos de DNS pasivos mientras investigaba los ataques de Knotweed, la firma de inteligencia de amenazas RiskIQ también descubrió que la infraestructura que sirve activamente malware desde febrero de 2020 estaba vinculada a DSIRF. Esto incluye el sitio web oficial y los dominios que probablemente se usaron para depurar y organizar el malware Subzero.
El Centro de Inteligencia de Amenazas de Microsoft (MSTIC) también ha encontrado múltiples vínculos entre DSIRF y las herramientas maliciosas utilizadas en los ataques de Knotweed.
“Estos incluyen la infraestructura de comando y control utilizada por el malware que se vincula directamente a DSIRF. Además, una cuenta de GitHub asociada a DSIRF que se usa en un ataque, un certificado de firma de código emitido a DSIRF que se usa para firmar un exploit y otras noticias de código abierto informes que atribuyen Subzero a DSIRF”.
Microsoft
Algunos ataques de Knotweed observados por Microsoft se han dirigido a firmas de abogados, bancos y organizaciones de consultoría estratégica en todo el mundo. Entre los países afectados por este tipo de ataques están Austria, el Reino Unido y Panamá.
“Como parte de nuestra investigación sobre la utilidad de este malware, las comunicaciones de Microsoft con una víctima de Subzero revelaron que no habían contratado ningún equipo rojo o prueba de penetración, y confirmaron que se trataba de una actividad maliciosa no autorizada”.
“Las víctimas observadas hasta la fecha incluyen firmas de abogados, bancos y consultorías estratégicas en países como Austria, Reino Unido y Panamá”.
Malware Subzero
En los dispositivos comprometidos, los atacantes implementaron Corelump, el payload principal que se ejecuta desde la memoria para evadir la detección. Asismimo, ejecutaron Jumplump, un cargador de malware muy ofuscado que descarga y carga Corelump en la memoria.
El payload principal de Subzero tiene muchas capacidades. Por ejemplo, el registro de teclas, la captura de capturas de pantalla, la filtración de datos y la ejecución de shells remotas y complementos arbitrarios descargados de su servidor de comando y control.
En los sistemas donde Knotweed implementó su malware, Microsoft observó una variedad de acciones posteriores al compromiso, que incluyen:
- Configuración de UseLogonCredential en “1” para habilitar las credenciales de texto plano
- Recuperación de credenciales a través de comsvcs.dll
- Intento de acceder a correos electrónicos con credenciales recuperadas desde una dirección IP de KNOTWEED
- Uso de Curl para descargar herramientas de KNOTWEED desde recursos compartidos de archivos públicos como vultroobjects[.]com
- Ejecución de scripts de PowerShell directamente desde un Gist de GitHub creado por una cuenta asociada con DSIRF
Exploits de día cero
Entre los días cero utilizados en las campañas de Knotweed, Microsoft destaca la vulnerabilidad CVE-2022-22047 recientemente parcheada. CVE-2022-22047 ayudó a los atacantes a aumentar los privilegios, escapar de los entornos limitados y obtener la ejecución del código a nivel del sistema.
Por si no lo sabes, casi todas las versiones de Windows y Windows Server son vulnerables a ser atacadas con CVE-2022-22047. CVE-2022-22047 es una vulnerabilidad de día cero que Microsoft calificó como “importante” en lugar de crítica.
Calificarla como “importante” fue algo extraño, dada la gravedad de la vulnerabilidad y el hecho de que se sabía que los ciberdelincuentes la estaban explotando antes de que el parche del sistema estuviera disponible. El experto en seguridad informática Mike Walters, afirmó que CVE-2022-22047 “es fundamental porque se explota activamente en el entorno”, y agregó que “el uso de esta vulnerabilidad le da a un atacante privilegios de SYSTEM”.
El razonamiento detrás de la calificación importante parece ser que solo se puede ejecutar localmente. No obstante, expertos aseguran que incluir algo como esto como parte de un ataque encadenado con otras vulnerabilidades no es muy complicado. De hecho, incluso la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) pensó que la vulnerabilidad valía la pena agregarla al Catálogo de Vulnerabilidades Explotadas Conocidas y, lo que es más importante, ordenar a las agencias federales de Estados Unidos parchar sus sistemas a más tardar el 2 de agosto.
Más exploits
El año pasado, Knotweed también usó una cadena de exploits formada por dos exploits de escalada de privilegios de Windows (CVE-2021-31199 y CVE-2021-31201 ) junto con un exploit de Adobe Reader (CVE-2021-28550). Es importante mencionar que todas estas vulnerabilidades fueron parcheadas en junio de 2021.
En 2021, el grupo de cibermercenarios también estuvo vinculado a la explotación de un cuarto día cero. Este día cero era una vulnerabilidad de escalamiento de privilegios de Windows en el servicio Windows Update Medic (CVE-2021-36948) que se usa para obligar al servicio a cargar una DLL firmada arbitrariamente.
Contramedidas
Para defenderse de tales ataques, Microsoft aconseja a los clientes que:
- Priorizar los parches para CVE-2022-22047 .
- Confirmar que el antivirus Microsoft Defender esté actualizado a la actualización de inteligencia de seguridad 1.371.503.0 o posterior para detectar los indicadores relacionados.
- Utilizar los indicadores de compromiso incluidos para investigar si existen en tu entorno y evaluar posibles intrusiones.
- Cambiar la configuración de seguridad de las macros de Excel para controlar qué macros se ejecutan y en qué circunstancias al abrir un libro. Los clientes también pueden detener las macros XLM o VBA maliciosos asegurándose de que el escaneo de macros en tiempo de ejecución por parte de la Interfaz de escaneo antimalware(AMSI) esté activado.
- Habilitar la autenticación multifactor (MFA) para mitigar las credenciales potencialmente comprometidas y garantizar que se aplique MFA para toda la conectividad remota.
- Revisar toda la actividad de autenticación para la infraestructura de acceso remoto, centrándose en las cuentas configuradas con autenticación de un solo factor, para confirmar la autenticidad e investigar cualquier actividad anormal.
“Para limitar estos ataques, emitimos una actualización de software para mitigar el uso de vulnerabilidades y firmas de malware publicadas que protegerán a los clientes de Windows de los exploits que Knotweed estaba usando para ayudar a enviar su malware”.
“Vemos cada vez más a las PSOA vendiendo sus herramientas a gobiernos autoritarios que actúan de manera inconsistente con el estado de derecho y las normas de derechos humanos. Estos gobiernos utilizan las herramientas para atacar a defensores de los derechos humanos, periodistas, disidentes y otras personas involucradas en la sociedad civil”.
Cristin Goodwin, Gerente General de la Unidad de Seguridad Digital de Microsoft.