{"id":849287,"date":"2023-07-11T18:20:42","date_gmt":"2023-07-11T18:20:42","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-aprovechan-la-laguna-de-la-politica-de-windows-para-falsificar-firmas-de-controladores-en-modo-kernel\/"},"modified":"2023-07-11T18:20:46","modified_gmt":"2023-07-11T18:20:46","slug":"los-piratas-informaticos-aprovechan-la-laguna-de-la-politica-de-windows-para-falsificar-firmas-de-controladores-en-modo-kernel","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-aprovechan-la-laguna-de-la-politica-de-windows-para-falsificar-firmas-de-controladores-en-modo-kernel\/","title":{"rendered":"Los piratas inform\u00e1ticos aprovechan la laguna de la pol\u00edtica de Windows para falsificar firmas de controladores en modo kernel"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Se ha observado que una laguna en la pol\u00edtica de Microsoft Windows es explotada principalmente por actores de amenazas nativos de habla china para falsificar firmas en controladores en modo kernel.<\/p>\n<p>&#8220;Los actores est\u00e1n aprovechando m\u00faltiples herramientas de c\u00f3digo abierto que alteran la fecha de firma de los controladores en modo kernel para cargar controladores maliciosos y no verificados firmados con certificados vencidos&#8221;, dijo Cisco Talos en un comunicado. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/old-certificate-new-signature\/\" target=\"_blank\">exhaustivo informe en dos partes<\/a> compartido con The Hacker News.  &#8220;Esta es una gran amenaza, ya que el acceso al kernel proporciona acceso completo a un sistema y, por lo tanto, un compromiso total&#8221;.<\/p>\n<p>Tras la divulgaci\u00f3n responsable, Microsoft <a rel=\"nofollow noopener\" href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/ADV230001\" target=\"_blank\">dicho<\/a> ha tomado medidas para bloquear todos los certificados para mitigar la amenaza.  Afirm\u00f3 adem\u00e1s que su investigaci\u00f3n encontr\u00f3 que &#8220;la actividad se limit\u00f3 al abuso de varias cuentas de programas de desarrolladores y que no se ha identificado ning\u00fan compromiso de cuenta de Microsoft&#8221;.<\/p>\n<p>El gigante tecnol\u00f3gico, adem\u00e1s de suspender las cuentas del programa de desarrolladores involucrados en el incidente, enfatiz\u00f3 que los actores de la amenaza ya hab\u00edan obtenido privilegios administrativos en los sistemas comprometidos antes del uso de los controladores.<\/p>\n<p>Vale la pena se\u00f1alar que el fabricante de Windows implement\u00f3 protecciones de bloqueo similares en diciembre de 2022 para evitar que los atacantes de ransomware usen controladores firmados por Microsoft para la actividad posterior a la explotaci\u00f3n.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows-hardware\/drivers\/install\/driver-signing\" target=\"_blank\">Aplicaci\u00f3n de la firma del conductor<\/a>que requiere que los controladores en modo kernel est\u00e9n firmados digitalmente con un certificado del Portal de desarrollo de Microsoft, es una l\u00ednea de defensa crucial contra los controladores maliciosos, que podr\u00edan convertirse en armas para evadir las soluciones de seguridad, alterar los procesos del sistema y mantener la persistencia.<\/p>\n<p>La nueva debilidad descubierta por Cisco Talos hace posible falsificar firmas en controladores en modo kernel, lo que permite omitir las pol\u00edticas de certificados de Windows.<\/p>\n<p>Esto es posible gracias a un <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows-hardware\/drivers\/install\/kernel-mode-code-signing-policy--windows-vista-and-later-\" target=\"_blank\">excepci\u00f3n<\/a> creado por Microsoft para mantener la compatibilidad, lo que permite controladores con firma cruzada si estaban &#8220;firmados con un certificado de entidad final emitido antes del 29 de julio de 2015 que se encadena a un controlador con firma cruzada compatible&#8221;. [certificate authority].&#8221;<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"> <\/center><\/section>\n<p>&#8220;La tercera excepci\u00f3n crea una laguna que permite que un controlador reci\u00e9n compilado se firme con certificados no revocados emitidos antes o vencidos antes del 29 de julio de 2015, siempre que el certificado se encadene a una autoridad de certificaci\u00f3n con firma cruzada admitida&#8221;, la empresa de seguridad cibern\u00e9tica. dicho.<\/p>\n<p>Como resultado, no se impedir\u00e1 que un controlador firmado de esta manera se cargue en un dispositivo Windows, lo que permitir\u00e1 a los actores de amenazas aprovechar la cl\u00e1usula de escape para implementar miles de controladores firmados maliciosos sin enviarlos a Microsoft para su verificaci\u00f3n.<\/p>\n<p>Estos controladores no autorizados se implementan utilizando un software de falsificaci\u00f3n de marca de tiempo de firma, como <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/Jemmy1228\/HookSigntool\" target=\"_blank\">HookSignTool<\/a> y <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/hzqst\/FuckCertVerifyTimeValidity\" target=\"_blank\">FuckCertVerifyTimeValidity<\/a>que han estado disponibles p\u00fablicamente desde 2019 y 2018, respectivamente.<\/p>\n<p>Se puede acceder a HookSignTool a trav\u00e9s de GitHub desde el 7 de enero de 2020, mientras que FuckCertVerifyTimeValidity se comprometi\u00f3 por primera vez con el servicio de alojamiento de c\u00f3digo el 14 de diciembre de 2018.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/07\/1689099642_87_Los-piratas-informaticos-aprovechan-la-laguna-de-la-politica-de.jpg\" alt=\"Firmas de controladores en modo kernel\" border=\"0\" data-original-height=\"412\" data-original-width=\"728\" title=\"Firmas de controladores en modo kernel\"\/><\/div>\n<p>&#8220;HookSignTool es una herramienta de falsificaci\u00f3n de firmas de controladores que altera la fecha de firma de un controlador durante el proceso de firma a trav\u00e9s de una combinaci\u00f3n de vinculaci\u00f3n a la API de Windows y alteraci\u00f3n manual de la tabla de importaci\u00f3n de una herramienta de firma de c\u00f3digo leg\u00edtima&#8221;, explic\u00f3 Cisco Talos.<\/p>\n<p>En concreto, se trata de enganchar a la <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/api\/wincrypt\/nf-wincrypt-certverifytimevalidity\" target=\"_blank\">Funci\u00f3n CertVerifyTimeValidity<\/a>que verifica la validez temporal de un certificado, para cambiar la marca de tiempo de la firma durante la ejecuci\u00f3n.<\/p>\n<p>&#8220;Este peque\u00f1o proyecto evita que signtool verifique [sic] la validez de la hora del certificado y le permite firmar su contenedor con un certificado obsoleto sin cambiar la hora del sistema manualmente&#8221;, se lee en la p\u00e1gina de GitHub para FuckCertVerifyTimeValidity.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pam-webinar\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>\ud83d\udd10 Seguridad PAM: soluciones expertas para proteger sus cuentas confidenciales<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">Este seminario web dirigido por expertos lo equipar\u00e1 con el conocimiento y las estrategias que necesita para transformar su estrategia de seguridad de acceso privilegiado.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pam-webinar\" target=\"_blank\" class=\"wn-button\">Reserve su lugar<\/a><\/section>\n<p>&#8220;Instale hook en crypt32!CertVerifyTimeValidity y haga que siempre devuelva 0 y haga que kernel32!GetLocalTime devuelva lo que desee, ya que puede agregar &#8220;-fuckyear 2011&#8243; a la l\u00ednea de comando de signtool para firmar un certificado del a\u00f1o 2011&#8221;.<\/p>\n<p>Dicho esto, lograr una falsificaci\u00f3n exitosa requiere un certificado de firma de c\u00f3digo no revocado emitido antes del 29 de julio de 2015, junto con el <a rel=\"nofollow noopener\" href=\"https:\/\/ubuntu.com\/server\/docs\/security-certificates\" target=\"_blank\">clave privada y contrase\u00f1a del certificado<\/a>.<\/p>\n<p>Cisco Talos dijo que descubri\u00f3 m\u00e1s de una docena de certificados de firma de c\u00f3digo con claves y contrase\u00f1as contenidas en un archivo PFX alojado en GitHub en un repositorio bifurcado de FuckCertVerifyTimeValidity.  No est\u00e1 claro de inmediato c\u00f3mo se obtuvieron estos certificados.<\/p>\n<p>Adem\u00e1s, se ha observado que HookSignTool se ha utilizado para volver a firmar controladores descifrados con el fin de eludir las verificaciones de integridad de gesti\u00f3n de derechos digitales (DRM), con un actor llamado &#8220;Juno_Jr&#8221; lanzando una versi\u00f3n descifrada de PrimoCache, una soluci\u00f3n leg\u00edtima de almacenamiento en cach\u00e9 de software. , en un foro de descifrado de software chino el 9 de noviembre de 2022.<\/p>\n<p>&#8220;En la versi\u00f3n crackeada [&#8230;]el controlador parcheado se volvi\u00f3 a firmar con un certificado emitido originalmente a &#8216;Shenzhen Luyoudashi Technology Co., Ltd.&#8217;, que se encuentra en el archivo PFX en GitHub&#8221;, dijeron los investigadores de Talos. obst\u00e1culo importante al intentar eludir las comprobaciones de DRM en un controlador firmado&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/07\/1689099642_493_Los-piratas-informaticos-aprovechan-la-laguna-de-la-politica-de.jpg\" alt=\"Firmas de controladores en modo kernel\" border=\"0\" data-original-height=\"703\" data-original-width=\"728\" title=\"Firmas de controladores en modo kernel\"\/><\/div>\n<p>Eso no es todo.  HookSignTool tambi\u00e9n est\u00e1 siendo utilizado por un controlador previamente no documentado identificado como RedDriver para falsificar su marca de tiempo de firma.  Activo desde al menos 2021, funciona como un secuestrador de navegador basado en controladores que aprovecha la plataforma de filtrado de Windows (<a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/fwp\/windows-filtering-platform-start-page\" target=\"_blank\">PMA<\/a>) para interceptar el tr\u00e1fico del navegador y redirigirlo a localhost (127.0.0.1).<\/p>\n<p>El navegador de destino se elige al azar de una lista codificada que contiene los nombres de proceso de muchos navegadores populares en chino como Liebao, QQ Browser, Sogou y UC Browser, as\u00ed como Google Chrome, Microsoft Edge y Mozilla Firefox.<\/p>\n<p>&#8220;Inicialmente encontr\u00e9 RedDriver mientras investigaba la falsificaci\u00f3n de la marca de tiempo del certificado en los controladores de Windows&#8221;, dijo a The Hacker News Chris Neal, investigador de divulgaci\u00f3n de Cisco Talos.  &#8220;Fue una de las primeras muestras con las que me encontr\u00e9 que inmediatamente sospech\u00e9. Lo que me llam\u00f3 la atenci\u00f3n fue la lista de navegadores web almacenados dentro del archivo RedDriver&#8221;.<\/p>\n<p>El objetivo final de esta redirecci\u00f3n del tr\u00e1fico del navegador no est\u00e1 claro, aunque no hace falta decir que se podr\u00eda abusar de dicha capacidad para manipular el tr\u00e1fico del navegador a nivel de paquete.<\/p>\n<p>Las cadenas de infecci\u00f3n de RedDriver comienzan con la ejecuci\u00f3n de un binario llamado &#8220;DnfClientShell32.exe&#8221;, que, a su vez, inicia comunicaciones cifradas con un servidor de comando y control (C2) para descargar el controlador malicioso.<\/p>\n<p>&#8220;No observamos la entrega del archivo inicial, pero es muy probable que el archivo se empaquetara para hacerse pasar por un archivo de juego y estuviera alojado en un enlace de descarga malicioso&#8221;, dijo Neal.  &#8220;La v\u00edctima probablemente pens\u00f3 que estaba descargando un archivo de una fuente leg\u00edtima y ejecut\u00f3 el ejecutable. &#8216;DNFClient&#8217; es el nombre de un archivo que pertenece a &#8216;Dungeon Fighter Online&#8217;, que es un juego extremadamente popular en China y com\u00fanmente conocido como &#8216;DNF .'&#8221;<\/p>\n<p>&#8220;RedDriver probablemente fue desarrollado por actores de amenazas altamente calificados, ya que la curva de aprendizaje para desarrollar controladores maliciosos es empinada&#8221;, dijo Cisco Talos.  &#8220;Si bien la amenaza parece apuntar a los hablantes nativos de chino, es probable que los autores tambi\u00e9n sean hablantes de chino&#8221;.<\/p>\n<p>&#8220;Los autores tambi\u00e9n demostraron familiaridad o experiencia con los ciclos de vida del desarrollo de software, otro conjunto de habilidades que requiere experiencia previa en desarrollo&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/hackers-exploit-windows-policy-loophole.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Se ha observado que una laguna en la pol\u00edtica de Microsoft Windows es explotada principalmente por actores de<\/p>\n","protected":false},"author":1,"featured_media":849288,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,38098,4661,4664,22633,42467,4662,10411,6214,18039,4668,37779,4667,36,4869,4654,4658,4659,4653,4655,18,6213,40,4663,4666,4665,4660,20385],"class_list":["post-849287","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-aprovechan","tag-ataques-ciberneticos","tag-como-hackear","tag-controladores","tag-falsificar","tag-filtracion-de-datos","tag-firmas","tag-informaticos","tag-kernel","tag-la-seguridad-informatica","tag-laguna","tag-las-noticias-de-los-hackers","tag-los","tag-modo","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-piratas","tag-politica","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-de-software","tag-windows"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/849287","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=849287"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/849287\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/849288"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=849287"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=849287"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=849287"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}