Microsoft ha estado en las noticias últimamente debido al anuncio de Windows 11 el 24 de junio de este año. Pero esa no es la única razón por la que ha sido un tema de discusión entre la gente. Hay un par de razones más, como las muchas actualizaciones que ha lanzado junto con la información de malware que se ha revelado recientemente.
El Centro de respuesta de seguridad de Microsoft (MSRC) admitió que aceptó un controlador que incluía un software malicioso. Rootkit Malware que intercambiaba datos con servidores de comando y control (C2) en China. Parece que ciertos actores maliciosos han engañado al gigante de Redmond para que firme un controlador Netfilter diseñado para entornos de juego. El controlador se utilizaba para ocultar la ubicación geográfica del jugador y jugar desde cualquier región.
La primera instancia de este malware fue identificada por Karsten Hahn, analista de malware de la empresa alemana de ciberseguridad G Data. "Desde Windows Vista, cualquier código que se ejecute en modo kernel debe probarse y firmarse antes de su lanzamiento público para garantizar la estabilidad del sistema operativo". afirmó Hahn. “Los controladores sin un certificado de Microsoft no se pueden instalar de forma predeterminada”, continuó.
¿Cómo funcionó este malware?
El MSRC explicó que personas con intenciones maliciosas utilizaron este malware para explotar a otros jugadores y comprometer las credenciales de sus cuentas mediante un registrador de pulsaciones. También podrían haber logrado piratear otra información, incluida información de tarjetas de débito/crédito y direcciones de correo electrónico.
Es interesante observar que Netfilter es un paquete de aplicación legítimo que permite a los usuarios habilitar el filtrado de paquetes y traducir la red. direcciones. También puede agregar nuevos certificados raíz, configurar un nuevo servidor proxy y ayudar a modificar la configuración de Internet.
Una vez que los usuarios instalaron esta aplicación en su sistema, se conectó con un servidor C2 para recibir la información de configuración y actualizaciones. Microsoft también explicó que las técnicas empleadas en el ataque ocurren después de la explotación, lo que indica que el oponente primero debe obtener privilegios administrativos y luego instalar el controlador durante el inicio del sistema.
“El panorama de seguridad continúa evolucionando rápidamente a medida que Los actores de amenazas encuentran métodos nuevos e innovadores para obtener acceso a entornos a través de una amplia gama de vectores”, afirmó MSRC.
Hahn fue la principal persona a la que se le atribuyó el descubrimiento del malware, pero más tarde se le unieron otros investigadores de malware, entre ellos johan n Aydinbas, Takahiro Haruyama y Florian Roth. Estaba preocupado por el proceso de firma de código de Microsoft y dudaba de que hubiera otro malware oculto en el conjunto de controladores aprobados de Microsoft.
El modus operandi de los actores malintencionados
Una vez que Microsoft fue informado, ha estado tomando todas las medidas necesarias para investigar el incidente y tomar medidas preventivas para garantizar que no vuelva a suceder. Microsoft declaró que no hay evidencia de que se hayan utilizado los certificados de firma de código robados. Las personas detrás de este malware siguieron el proceso legítimo de enviar controladores a los servidores de Microsoft y también adquirieron legalmente el binario firmado por Microsoft.
Microsoft declaró que los controladores fueron creados por un desarrollador externo y se enviaron para su aprobación a través de el Programa de compatibilidad de hardware de Windows. Después de este incidente, Microsoft suspendió la cuenta que envió este controlador y comenzó a revisar todos los envíos realizados por esa cuenta con máxima prioridad.
Además, Microsoft dijo que perfeccionará sus políticas de acceso de socios, así como su validación. y proceso de firma para mejorar aún más las protecciones.
Puntos concluyentes sobre Microsoft acepta iniciar sesión en el controlador Netfilter que estaba cargado con Rootkit MalwareMicrosoft afirma que el malware fue creado para atacar el sector de los juegos en China y parece ser el trabajo de unos pocos individuos solamente. No existen conexiones que vinculen a una organización o empresa con el malware. Sin embargo, debe entenderse que cualquiera puede aprovechar dichos archivos binarios engañosos para iniciar un ataque de software
a gran escala. En el pasado, este tipo de ataques han sido facilitados, como el ataque Stuxnet que atacó el programa nuclear de Irán. Esto se debió a que los certificados utilizados para la firma de código fueron robados de Realtek y JMicron.
Con Microsoft preparándose para el lanzamiento de Windows 11, este incidente genera dudas sobre la seguridad que Microsoft brinda con sus sistemas operativos. . ¿Qué opinas? Por favor comparte tus pensamientos en la sección de comentarios. Síguenos en las redes sociales – .
Leer: 0
