Microsoft revel\u00f3 el martes que tom\u00f3 medidas para suspender las cuentas que se usaron para publicar contenido malicioso. conductores<\/a> que fueron certificados por su Windows Programa de desarrollo de hardware<\/a> se utilizaron para firmar malware.<\/p>\n El gigante tecnol\u00f3gico dijo que su investigaci\u00f3n revel\u00f3 que la actividad estaba restringida a varias cuentas de programas de desarrolladores y que no se detect\u00f3 ning\u00fan otro compromiso.<\/p>\n La firma criptogr\u00e1fica del malware es preocupante, sobre todo porque no solo socava un mecanismo de seguridad clave, sino que tambi\u00e9n permite a los actores de amenazas subvertir los m\u00e9todos de detecci\u00f3n tradicionales e infiltrarse en las redes de destino para realizar operaciones altamente privilegiadas.<\/p>\n La investigaci\u00f3n, declar\u00f3 Redmond, se inici\u00f3 despu\u00e9s de que las firmas de ciberseguridad Mandiant, SentinelOne y Sophos notificaron que los controladores no autorizados se estaban utilizando en los esfuerzos posteriores a la explotaci\u00f3n, incluida la implementaci\u00f3n de ransomware, el 19 de octubre de 2022.<\/p>\n Un aspecto notable de estos ataques fue que el adversario ya hab\u00eda obtenido privilegios administrativos en los sistemas comprometidos antes de usar los controladores.<\/p>\n “Varias cuentas de desarrolladores del Centro de socios de Microsoft se comprometieron a enviar controladores maliciosos para obtener una firma de Microsoft”, dijo Microsoft. explicado<\/a>. “Un nuevo intento de enviar un controlador malicioso para firmar el 29 de septiembre de 2022 llev\u00f3 a la suspensi\u00f3n de las cuentas de los vendedores a principios de octubre”.<\/p>\n Seg\u00fan un an\u00e1lisis de los actores de amenazas de Sophos afiliados al ransomware Cuba (tambi\u00e9n conocido como COLDDRAW), instalaron un controlador malicioso firmado en un intento fallido de desactivar las herramientas de detecci\u00f3n de puntos finales a trav\u00e9s de un novedoso cargador de malware denominado BURNTCIGAR, que fue revelado por primera vez<\/a> por Mandiant en febrero de 2022.<\/p>\n La empresa tambi\u00e9n identific\u00f3 tres variantes del controlador firmado por certificados de firma de c\u00f3digo que pertenecen a dos empresas chinas, Zhuhai Liancheng Technology y Beijing JoinHope Image Technology.<\/p>\n El razonamiento detr\u00e1s del uso de controladores firmados es que ofrece una forma para que los actores de amenazas se desplacen. medidas de seguridad cruciales<\/a> que requieren que los controladores en modo kernel est\u00e9n firmados para que Windows cargue el paquete. Adem\u00e1s, la t\u00e9cnica hace un mal uso de las herramientas de seguridad de confianza de facto que se encuentran en los controladores certificados por Microsoft para su beneficio.<\/p>\n “Los actores de amenazas est\u00e1n ascendiendo en la pir\u00e1mide de confianza, intentando utilizar claves criptogr\u00e1ficas cada vez m\u00e1s confiables para firmar digitalmente a sus controladores”, dijeron los investigadores de Sophos Andreas Klopsch y Andrew Brandt. dijo<\/a>. “Las firmas de un editor de software grande y confiable hacen que sea m\u00e1s probable que el controlador se cargue en Windows sin obst\u00e1culos”.<\/p>\n Mandiant, propiedad de Google, en una divulgaci\u00f3n coordinada, dijo<\/a> observ\u00f3 un grupo de amenazas motivado financieramente conocido como UNC3944 que empleaba un cargador llamado STONESTOP para instalar un controlador malicioso denominado POORTRY que est\u00e1 dise\u00f1ado para finalizar los procesos asociados con el software de seguridad y eliminar archivos.<\/p>\n Afirmando que ha “observado continuamente que los actores de amenazas usan certificados de firma de c\u00f3digo comprometidos, robados y comprados il\u00edcitamente para firmar malware”, la firma de inteligencia de amenazas y respuesta a incidentes se\u00f1al\u00f3 que “varias familias de malware distintas, asociadas con distintos actores de amenazas, han sido firmadas con este proceso”.<\/p>\n Esto ha dado lugar a la posibilidad de que estos grupos de piratas inform\u00e1ticos puedan aprovechar un servicio criminal para la firma de c\u00f3digo (es decir, la firma de controladores maliciosos como un servicio), en el que el proveedor obtiene los artefactos de malware firmados a trav\u00e9s del proceso de certificaci\u00f3n de Microsoft en nombre de los actores.<\/p>\n Se dice que STONESTOP y POORTRY fueron utilizados por UNC3944 en ataques dirigidos a los sectores de telecomunicaciones, BPO, MSSP, servicios financieros, criptomonedas, entretenimiento y transporte, SentinelOne dijo<\/a>agregando un actor de amenazas diferente que utiliz\u00f3 un controlador firmado similar que result\u00f3 en la implementaci\u00f3n del ransomware Hive.<\/p>\n Desde entonces, Microsoft revoc\u00f3 los certificados de los archivos afectados y suspendi\u00f3 las cuentas de vendedor de los socios para contrarrestar las amenazas como parte de su actualizaci\u00f3n Patch Tuesday de diciembre de 2022.<\/p>\n Esta no es la primera vez que se abusa de los certificados digitales para firmar malware. El a\u00f1o pasado, un controlador de Netfilter certificado por Microsoft result\u00f3 ser un rootkit de Windows malicioso que se observ\u00f3 comunic\u00e1ndose con servidores de comando y control (C2) ubicados en China.<\/p>\n Sin embargo, no es un fen\u00f3meno exclusivo de Windows, ya que Google public\u00f3 este mes hallazgos de que los certificados de plataforma comprometidos administrados por fabricantes de dispositivos Android, incluidos Samsung y LG, se hab\u00edan utilizado para firmar aplicaciones maliciosas distribuidas a trav\u00e9s de canales no oficiales.<\/p>\n El desarrollo tambi\u00e9n se produce en medio de un abuso m\u00e1s amplio de controladores firmados para sabotear el software de seguridad en los \u00faltimos meses. El ataque, denominado Traiga su propio controlador vulnerable (BYOVD), implica la explotaci\u00f3n de controladores leg\u00edtimos que contienen deficiencias conocidas para aumentar los privilegios y ejecutar acciones posteriores al compromiso.<\/p>\n Microsoft, a finales de octubre, dijo<\/a> es habilitando<\/a> la lista de bloqueo de controladores vulnerables (DriverSiPolicy.p7b) de forma predeterminada para todos los dispositivos con la actualizaci\u00f3n de Windows 11 2022, junto con la validaci\u00f3n de que es la misma en diferentes versiones del sistema operativo, siguiendo un Ars Technica reporte<\/a> que destac\u00f3 las inconsistencias en la actualizaci\u00f3n de la lista de bloqueo para m\u00e1quinas con Windows 10.<\/p>\n “Los mecanismos de firma de c\u00f3digo son una caracter\u00edstica importante en los sistemas operativos modernos”, dijo SentinelOne. “La introducci\u00f3n de la aplicaci\u00f3n de la firma de controladores fue clave para detener la ola de rootkits durante a\u00f1os. La efectividad cada vez menor de la firma de c\u00f3digo representa una amenaza para la seguridad y los mecanismos de verificaci\u00f3n en todas las capas del sistema operativo”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/12\/Google-lanza-la-mayor-base-de-datos-distribuida-de-vulnerabilidades.png\")
<\/a><\/center><\/div>\n![\"Secuestro](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/12\/1671040958_979_Los-atacantes-de-ransomware-usan-controladores-firmados-por-Microsoft-para.png\" "\\"Secuestro")
<\/div>\n![\"Secuestro](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/12\/1671040958_676_Los-atacantes-de-ransomware-usan-controladores-firmados-por-Microsoft-para.png\" "\\"Secuestro")
<\/div>\n