Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Controladores de Windows maliciosos firmados por Microsoft utilizados en ataques de ransomware


En una investigación, se ha detallado que se han detectado algunos de estos controladores que son maliciosos y que se la habían colado a Microsoft habrían provocado casos de ransomware.




Los controladores en Windows son completamente necesarios para que funcione todo el hardware que conectamos al ordenador, como una tarjeta gráfica, el procesador, el adaptador de red e incluso cualquier periférico. Estos pueden tener acceso al núcleo del propio ordenador y controlarlo sin problema, y es por ello que es realmente importante que estén firmados por Microsoft.

Microsoft cuenta con un Programa de Desarrolladores de Hardware en Windows que permite firmar los controladores necesarios para poder usar todos los productos que crean. Estos dan la confianza de que están limpios de malware, aunque esto no siempre ocurre como se ha podido comprobar. Ya que algunos de estos controladores han pasado el filtro, y es algo que puede ser realmente peligroso.

Microsoft reconoce un fallo de seguridad en controladores firmados

El hecho de tener instalado un controlador malicioso es realmente peligroso. Esto se debe que Microsoft al firmarlos le da permisos para acceder al kernel del ordenador, es decir, que consigue tener los máximos privilegios para poder hacer lo que quiera en el ordenador. De esta manera conseguirá acceder a información personal y de tu uso.



Para poder hacer a este programa y pasar la seguridad, se utilizaron diferentes componentes llamados STONESTOP y POORTRY, y además se utilizaron herramientas que estaban firmadas por Microsoft para una tercera persona al que pagaban para acceder los actores de esta amenaza. Igualmente, todavía está bajo investigación al no estar claro del todo el procedimiento que se ha seguido. Lo que si conoce es que este controlador provocaba el secuestro de los datos, lo conocido como ransomware.

Para poder detectar a estos actores de la amenaza, han conseguido extraer los nombres de las organizaciones que han creado estos controladores que ahora pasan a estar en la lista negra. Estos son:

  • Qi Lijun
  • Luck Bigger Technology Co., Ltd
  • XinSing Network Service Co., Ltd
  • Hangzhou Shunwang Technology Co.,Ltd
  • Fuzhou Superman
  • Beijing Hongdao Changxing International Trade Co., Ltd.
  • Fujian Altron Interactive Entertainment Technology Co., Ltd.
  • Xiamen Hengxin Excellence Network Technology Co., Ltd.
  • Dalian Zongmeng Network Technology Co., Ltd.

Desde Microsoft ya han querido responder a esta amenaza que se ha descubierto liberando diferentes actualizaciones de seguridad para poder revocar los certificados a estos controladores maliciosos. Además, se liberó la actualización 1.377.987.0 de Windows Defender para poder detectarlos y eliminarlos también. Si bien, aunque se han descubierto varios editores que han mandado este tipo de controladores todavía pueden quedar algunos que hayan usado el mismo sistema. Es por ello que han liberado la siguiente comunicación:

Microsoft está trabajando con los socios del Programa de Procciones Activas de Microsoft (MAPP) para ayudar a desarrollar más detecciones y proteger mejor a nuestros clientes compartidos. Microsoft Partner Center también está trabajando en soluciones a largo plazo para abordar estas prácticas engañosas y prevenir futuros impactos en los clientes   

 

Fuentes:

https://www.genbeta.com/seguridad/a-microsoft-se-le-han-colado-varios-controladores-maliciosos-para-windows-que-secuestran-tus-datos

https://www.mandiant.com/resources/blog/hunting-attestation-signed-malware

https://msrc.microsoft.com/update-guide/vulnerability/ADV220005

https://www.bleepingcomputer.com/news/microsoft/microsoft-signed-malicious-windows-drivers-used-in-ransomware-attacks/

https://www.sentinelone.com/labs/driving-through-defenses-targeted-attacks-leverage-signed-malicious-microsoft-drivers/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.