Linux

Cisco Talos informa sobre la vulnerabilidad de la política de Windows explotada por actores de amenazas

Robo de identidad del concepto de seguridad cibernética, piratería de bases de datos, ciberdelincuencia en Internet. Hackear, hackear y robar datos. Dañar el sistema y robar datos.Crédito de la imagen: SomYuZu/Adobe Stock

Cisco Talos descubrió una nueva vulnerabilidad de la política de Microsoft Windows que permite a los actores de amenazas firmar controladores maliciosos en modo kernel ejecutados por el sistema operativo. Los actores de amenazas aprovechan las políticas de compatibilidad específicas de Microsoft para habilitar la firma de controladores maliciosos en modo kernel. Entonces, el malware RedDriver puede haber sido desarrollado por actores de amenazas de habla china, dirigidos principalmente a los navegadores utilizados en China.

Los controladores en modo kernel maliciosos representan una amenaza grave en comparación con los controladores en modo usuario. Obtenga más información sobre estos controladores, qué hace el malware RedDriver, a qué se dirige y cómo mantener su empresa segura.

Salta a:

Por qué los controladores maliciosos en modo kernel son una amenaza grave

El sistema operativo Microsoft Windows maneja dos tipos de controladores: controladores en modo usuario y controladores en modo kernel. Estos últimos son más potentes que los controladores en modo usuario por varias razones. Controladores en modo kernel:

  • Se ejecutan a un nivel bajo en el sistema operativo, lo que las hace más difíciles de detectar que las aplicaciones en modo usuario y permite la ejecución de código con los privilegios más altos.
  • Puede ser persistente y se ejecutará cada vez que se inicie el sistema operativo.
  • Se pueden usar para eludir la seguridad, ya que tienen acceso directo al hardware y a los componentes del sistema, como firewalls o software antimalware.
  • La funcionalidad de rootkit se puede incrustar para ocultar su presencia o la presencia de otro software (como malware) en el sistema.

Microsoft ha implementado medidas para proteger los sistemas y combatir la amenaza de los controladores maliciosos en modo kernel basados ​​en certificados. Los controladores en modo kernel deben estar firmados digitalmente con un certificado de una autoridad de certificación verificada. A partir de Windows 10, versión 1607, Microsoft actualizó su política de firma para no permitir más controladores en modo kernel que no hayan sido enviados y firmados por su portal para desarrolladores.

LEER  Por qué los desarrolladores de código abierto se están agotando: falta de respeto

Vulnerabilidades explotadas

Debe leer el informe de seguridad

Para mantener la funcionalidad y la compatibilidad de los controladores más antiguos, Microsoft creó algunas excepciones para las siguientes situaciones:

  • La computadora se actualizó a Windows 10, versión 1607 desde una versión anterior de Windows.
  • El parámetro Arranque seguro está desactivado en el firmware UEFI o BIOS de la computadora.
  • Los controladores se firman con un certificado de entidad final emitido antes del 29 de julio de 2015 que se vincula a una autoridad de certificación con firma cruzada admitida.

Como escribe Cisco Talos, aquí existe una vulnerabilidad por la cual los controladores recién compilados pueden «firmarse con un certificado no revocado emitido o vencido antes del 29 de julio de 2015, siempre que el certificado se encadene a una CA con firma cruzada admitida».

Como resultado, varias herramientas de código abierto han comenzado a explotar esta vulnerabilidad, lo que permite a los desarrolladores firmar controladores con éxito.

Las herramientas existentes pueden ayudar a los desarrolladores a explotar esta vulnerabilidad de la política de Windows; Cisco Talos menciona Fu**CertVerifyTimeValidity (el nombre real está en el informe de Cisco Talos) y HookSignTool, ambos disponibles gratuitamente en Internet (Figura A). Fu**CertVerifyTimeValidity ha estado disponible en los foros chinos desde 2023, mientras que HookSignTool apareció en 2023.

Figura A

HookSignTool se lanzó por primera vez en 2019 en el foro chino de craqueo.HookSignTool se lanzó por primera vez en 2023 en el foro chino de craqueo. Crédito de la imagen: Cisco Talos

Estas herramientas permiten verificar tiempos no válidos pasando un tiempo personalizado en el parámetro «pTimeToVerify» usando el paquete Microsoft Detours, que está diseñado para monitorear e instrumentar llamadas API en Windows. El desvío también se usa para cambiar las marcas de tiempo de la firma durante la ejecución.

Ambas herramientas requieren un certificado de firma de código irrevocable que venció o se emitió antes del 29 de julio de 2015, junto con su clave privada y contraseña para falsificar firmas digitales con éxito. Los investigadores de Cisco Talos encontraron archivos alojados en GitHub en una bifurcación de una de las herramientas que contenía más de una docena de certificados de firma de código vencidos, comúnmente utilizados por ambas herramientas.

Conozca el software malicioso RedDriver

La cadena de ataque comienza con un único ejecutable llamado DnfClientShell32.exe, que inyecta recursos de DnfClient en procesos remotos. DnfClient luego comienza a comunicarse con el servidor de comando y control (C2) del actor de amenazas para iniciar la descarga de la carga útil de RedDriver. DnfClient también abre un puerto de escucha en localhost (127.0.0.1).

Según Cisco Talos, RedDriver es un controlador de modo kernel malicioso no documentado que toma su nombre del propio binario, como lo nombró su desarrollador en la ruta del archivo del proyecto compilado. RedDriver se ha firmado con HookSignTool. Los investigadores de Cisco Talos descubrieron diferentes versiones del kernel malicioso firmadas con diferentes certificados.

Una vez ejecutado, RedDriver puede secuestrar navegadores basándose en una lista codificada de navegadores, muchos de los cuales son populares en China (Figura B). Y agrega un certificado raíz al sistema.

Figura B

Lista de nombres de navegadores en el binario RedDriver.Lista de nombres de navegadores en el binario RedDriver. Imagen: Cisco Talos

RedDriver redirige el tráfico de estos navegadores a 127.0.0.1, pero no está claro por qué. Todavía representa una gran amenaza porque RedDriver puede manipular el tráfico del navegador a nivel de paquete mediante el uso de la plataforma de filtrado de Windows, un conjunto de API y servicios del sistema que proporciona una plataforma para crear aplicaciones de filtrado web.

Los investigadores de Cisco Talos descubrieron una versión anterior de RedDriver. Esta versión ha estado activa desde al menos 2023 y contiene una lista de nombres codificados que pertenecen a docenas de controladores, «muchos de los cuales están relacionados con software que se origina en China» y «se enfoca en software que se usará en cibercafés». Cisco Talos también mencionó que no es raro que los grupos de delitos cibernéticos apunten a los cibercafés en China.

Actores de amenazas y víctimas de habla china

Los desarrolladores de RedDriver han dejado muchos rastros que indican que son hablantes de chino.

Por ejemplo, todos los dominios relacionados con RedDriver se encuentran en China. La operación RedDriver involucra el código de varias herramientas de código abierto, en su mayoría de foros chinos. Una parte inicial del código de RedDriver se publicó originalmente en un foro chino.

Así como los actores de amenazas de RedDriver pueden ser chinos, RedDriver también se dirige a los hablantes de chino. La mayor parte de la lista de navegadores de destino y la lista de nombres de controladores a los que apunta RedDriver están relacionados con el software chino. El archivo infectado inicial que comienza con «Dnf» es probablemente un intento de hacerse pasar por el juego muy popular en China, Dungeon Fighter Online (DNF).

Cómo proteger su negocio de esta amenaza de ciberseguridad

Cisco Talos informó todos los certificados utilizados por el actor de amenazas a Microsoft. La lista de bloqueo de controladores que mantiene Microsoft en Windows se ha actualizado para bloquear todos estos certificados.

La investigación de Cisco Talos no indica que el método inicial para infectar una computadora podría ser la piratería de sitios web, correos electrónicos de phishing u otras técnicas de ingeniería social, por lo que es necesario implementar medidas generales de higiene de ciberseguridad.

Para empezar, todos los sistemas operativos, firmware y software deben mantenerse actualizados y parcheados en todo momento. Esto evitará daños por vulnerabilidades comunes.

Las soluciones de seguridad deben implementarse para monitorear los puntos finales y las redes en busca de cualquier comportamiento sospechoso. Los archivos adjuntos en los correos electrónicos deben analizarse cuidadosamente.

Finalmente, los empleados deben estar capacitados para detectar fraudes e intentos de infección, especialmente phishing.

Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.

LEER  Cómo instalar VirtualBox 7.0 en distribuciones de Linux basadas en Ubuntu

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba