{"id":1209849,"date":"2024-02-29T21:15:26","date_gmt":"2024-02-29T21:15:26","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-de-lazarus-aprovecharon-la-falla-del-kernel-de-windows-como-dia-cero-en-ataques-recientes\/"},"modified":"2024-02-29T21:15:30","modified_gmt":"2024-02-29T21:15:30","slug":"los-piratas-informaticos-de-lazarus-aprovecharon-la-falla-del-kernel-de-windows-como-dia-cero-en-ataques-recientes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-de-lazarus-aprovecharon-la-falla-del-kernel-de-windows-como-dia-cero-en-ataques-recientes\/","title":{"rendered":"Los piratas inform\u00e1ticos de Lazarus aprovecharon la falla del kernel de Windows como d\u00eda cero en ataques recientes"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>29 de febrero de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Rootkit\/Inteligencia contra amenazas<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los notorios actores del Grupo Lazarus explotaron una falla de escalada de privilegios recientemente reparada en el Kernel de Windows como un d\u00eda cero para obtener acceso a nivel de kernel y deshabilitar el software de seguridad en los hosts comprometidos.<\/p>\n

La vulnerabilidad en cuesti\u00f3n es CVE-2024-21338<\/strong> (Puntuaci\u00f3n CVSS: 7,8), que puede permitir a un atacante obtener privilegios del SISTEMA. Microsoft lo resolvi\u00f3 a principios de este mes como parte de las actualizaciones del martes de parches.<\/p>\n

“Para aprovechar esta vulnerabilidad, un atacante primero tendr\u00eda que iniciar sesi\u00f3n en el sistema”, explic\u00f3 Microsoft. dicho<\/a>. “Un atacante podr\u00eda entonces ejecutar una aplicaci\u00f3n especialmente dise\u00f1ada que podr\u00eda explotar la vulnerabilidad y tomar el control de un sistema afectado”.<\/p>\n

\"La<\/a><\/center><\/div>\n

Si bien no hab\u00eda indicios de explotaci\u00f3n activa de CVE-2024-21338 en el momento del lanzamiento de las actualizaciones, Redmond revis\u00f3 el mi\u00e9rcoles su “evaluaci\u00f3n de explotabilidad” para detectar la falla a “Explotaci\u00f3n detectada”. <\/p>\n

Actualmente no est\u00e1 claro cu\u00e1ndo tuvieron lugar los ataques, pero se dice que la vulnerabilidad se introdujo en Windows 10, versi\u00f3n 1703 (RS2\/15063) cuando se implement\u00f3 por primera vez el controlador 0x22A018 IOCTL (abreviatura de control de entrada\/salida).<\/p>\n

El proveedor de ciberseguridad Avast, que descubierto<\/a> un exploit salvaje del administrador al kernel para el error, dijo que la primitiva de lectura\/escritura del kernel lograda al convertir la falla en un arma permiti\u00f3 al Grupo Lazarus “realizar manipulaci\u00f3n directa de objetos del kernel en una versi\u00f3n actualizada de su rootkit FudModule de solo datos “.<\/p>\n

ESET y AhnLab informaron por primera vez que el rootkit FudModule era capaz de deshabilitar el monitoreo de todas las soluciones de seguridad en hosts infectados mediante lo que se llama un ataque Bring Your Own Vulnerable Driver (BYOVD), en el que un atacante implanta un controlador susceptible a una falla conocida o de d\u00eda cero para escalar privilegios.<\/p>\n

Lo que hace que el \u00faltimo ataque sea significativo es que va “m\u00e1s all\u00e1 de BYOVD al explotar un d\u00eda cero en un controlador que se sabe que ya est\u00e1 instalado en la m\u00e1quina de destino”. Ese controlador susceptible es appid.sys, que es crucial para el funcionamiento de un componente de Windows llamado Locker de aplicaciones<\/a> que es responsable del control de la aplicaci\u00f3n.<\/p>\n

\"Fallo<\/a><\/div>\n

El exploit del mundo real ideado por Lazarus Group implica el uso de CVE-2024-21338 en el controlador appid.sys para ejecutar c\u00f3digo arbitrario de una manera que evita todos los controles de seguridad y ejecuta el rootkit FudModule.<\/p>\n

“FudModule est\u00e1 s\u00f3lo ligeramente integrado en el resto del ecosistema de malware de Lazarus y Lazarus es muy cuidadoso al usar el rootkit, implement\u00e1ndolo solo bajo demanda y en las circunstancias adecuadas”, dijo el investigador de seguridad Jan Vojt\u011b\u0161ek, describiendo el malware como en desarrollo activo.<\/p>\n

\"La<\/a><\/center><\/div>\n

Adem\u00e1s de tomar medidas para eludir la detecci\u00f3n desactivando los registradores del sistema, FudModule est\u00e1 dise\u00f1ado para desactivar software de seguridad espec\u00edfico como AhnLab V3 Endpoint Security, CrowdStrike Falcon, HitmanPro y Microsoft Defender Antivirus (anteriormente Windows Defender).<\/p>\n

El desarrollo marca un nuevo nivel de sofisticaci\u00f3n t\u00e9cnica asociada con los grupos de hackers norcoreanos, que iteran continuamente su arsenal para mejorar el sigilo y la funcionalidad. Tambi\u00e9n ilustra las elaboradas t\u00e9cnicas empleadas para dificultar la detecci\u00f3n y hacer mucho m\u00e1s dif\u00edcil su seguimiento.<\/p>\n

El enfoque multiplataforma del colectivo adversario tambi\u00e9n se ejemplifica por el hecho de que ha sido observado<\/a> uso de enlaces de invitaci\u00f3n a reuniones de calendario falsos para instalar sigilosamente malware en sistemas Apple macOS, una campa\u00f1a que SlowMist document\u00f3 previamente en diciembre de 2023.<\/p>\n

“El Grupo Lazarus sigue siendo uno de los actores de amenazas persistentes avanzadas m\u00e1s prol\u00edficos y de larga data”, afirm\u00f3 Vojt\u011b\u0161ek. “El rootkit FudModule es el \u00faltimo ejemplo y representa una de las herramientas m\u00e1s complejas que Lazarus tiene en su arsenal”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n