Un fallo de seguridad recientemente parcheado que afectaba a Windows NT LAN Manager (NTLM) fue explotado como un d\u00eda cero por un actor sospechoso vinculado a Rusia como parte de ataques cibern\u00e9ticos dirigidos a Ucrania.<\/p>\n
La vulnerabilidad en cuesti\u00f3n, CVE-2024-43451 (puntuaci\u00f3n CVSS: 6,5), se refiere a una vulnerabilidad de suplantaci\u00f3n de divulgaci\u00f3n de hash NTLM que podr\u00eda explotarse para robar el hash NTLMv2 de un usuario. Microsoft lo parch\u00f3 a principios de esta semana.<\/p>\n
“Una interacci\u00f3n m\u00ednima con un archivo malicioso por parte de un usuario, como seleccionar (un solo clic), inspeccionar (hacer clic con el bot\u00f3n derecho) o realizar una acci\u00f3n distinta de abrir o ejecutar, podr\u00eda desencadenar esta vulnerabilidad”, revel\u00f3 Microsoft en su aviso.<\/p>\n
![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/Los-piratas-informaticos-rusos-aprovechan-la-nueva-falla-NTLM-para.png\")
<\/a><\/center><\/div>\nLa empresa israel\u00ed de ciberseguridad ClearSky, que descubri\u00f3 la explotaci\u00f3n de d\u00eda cero de la falla en junio de 2024, dicho<\/a> Se ha abusado de \u00e9l como parte de una cadena de ataque que entrega el malware de c\u00f3digo abierto Spark RAT.<\/p>\n “La vulnerabilidad activa archivos URL, lo que lleva a actividad maliciosa”, dijo la compa\u00f1\u00eda, a\u00f1adiendo que los archivos maliciosos estaban alojados en un sitio oficial del gobierno ucraniano que permite a los usuarios descargar certificados acad\u00e9micos.<\/p>\n La cadena de ataque implica el env\u00edo de correos electr\u00f3nicos de phishing desde un servidor gubernamental ucraniano comprometido (“doc.osvita-kp.gov[.]ua”) que solicita a los destinatarios que renueven sus certificados acad\u00e9micos haciendo clic en una URL trampa incrustada en el mensaje.<\/p>\n Esto conduce a la descarga de un archivo ZIP que contiene un archivo malicioso de acceso directo a Internet (.URL). La vulnerabilidad se activa cuando la v\u00edctima interact\u00faa con el archivo URL haciendo clic derecho, elimin\u00e1ndolo o arrastr\u00e1ndolo a otra carpeta.<\/p>\n El archivo URL est\u00e1 dise\u00f1ado para establecer conexiones con un servidor remoto (“92.42.96[.]30”) para descargar cargas \u00fatiles adicionales, incluido Spark RAT.<\/p>\n “Adem\u00e1s, una ejecuci\u00f3n de sandbox gener\u00f3 una alerta sobre un intento de pasar el hash NTLM (NT LAN Manager) a trav\u00e9s del protocolo SMB (Server Message Block)”, dijo ClearSky. “Despu\u00e9s de recibir el NTLM Hash, un atacante puede realizar un ataque Pass-the-Hash para identificarse como el usuario asociado con el hash capturado sin necesidad de la contrase\u00f1a correspondiente”.<\/p>\n El Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania (CERT-UA) ha vinculado la actividad a un probable actor de amenazas ruso al que rastrea como UAC-0194.<\/p>\n En las \u00faltimas semanas, la agencia tambi\u00e9n advirti\u00f3 que los correos electr\u00f3nicos de phishing con se\u00f1uelos relacionados con impuestos se est\u00e1n utilizando para propagar un software de escritorio remoto leg\u00edtimo llamado LiteManager, y describi\u00f3 la campa\u00f1a de ataque como motivada financieramente y realizada por un actor de amenazas llamado UAC-0050.<\/p>\n “Los contables de las empresas cuyos ordenadores funcionan con sistemas bancarios remotos se encuentran en una zona de riesgo especial”, CERT-UA prevenido<\/a>. “En algunos casos, como lo demuestran los resultados de las investigaciones forenses inform\u00e1ticas, puede pasar no m\u00e1s de una hora desde el momento del ataque inicial hasta el momento del robo de fondos”.<\/p>\n <\/p>\n<\/a><\/div>\n<\/a><\/center><\/div>\n