Microsoft ha revocado varias cuentas de desarrolladores de hardware de Microsoft después de que los controladores firmados a través de sus perfiles se usaran en ataques cibernéticos, incluidos incidentes de ransomware.
El ransomware Trigona detectado cada vez en más ataques
La noticia llega en una divulgación coordinada entre Microsoft , Mandiant , Sophos y SentinelOne.
Los investigadores explican que los piratas informáticos estaban utilizando controladores de hardware maliciosos en modo kernel cuya confianza se verifica con las firmas Authenticode del Programa de desarrollo de hardware de Windows de Microsoft.
“Microsoft fue informado de que los controladores certificados por el Programa de desarrollo de hardware de Windows de Microsoft se estaban utilizando maliciosamente en actividades posteriores a la explotación. En estos ataques, el atacante ya había obtenido privilegios administrativos en sistemas comprometidos antes de usar los controladores”, explica el aviso de Microsoft.
Estos privilegios podrían permitir que un controlador realice varias tareas maliciosas que normalmente no se permiten para las aplicaciones en modo de usuario.
Malware, ¿Qué es el Ransomware?
Entre otras acciones, se incluyen finalizar el software de seguridad, eliminar archivos protegidos y actuar como rootkits para ocultar otros procesos.
Como los desarrolladores necesitan comprar un certificado de validación extendida (EV), pasar por un proceso de identificación y enviar controladores examinados por Microsoft, muchas plataformas de seguridad confían automáticamente en el código firmado por Microsoft a través de Windows.
Por esa razón, la capacidad de firmar un controlador en modo kernel por parte de Microsoft para usarlo en campañas maliciosas es un bien altamente preciado para un pirata informático.
Kits de herramientas utilizado para terminar el software de seguridad
En los informes publicados, los investigadores explican cómo encontraron un nuevo conjunto de herramientas que consta de dos componentes llamados STONESTOP (cargador) y POORTRY (controlador en modo kernel) que se utilizan en los ataques.
Malware: Los Ransomware de Criptovirología más Conocidos
Según Mandiant y SentinelOne, STONESTOP es una aplicación en modo de usuario que intenta finalizar los procesos de software de seguridad de punto final de un dispositivo.
En otra variante, se incluye la capacidad de sobrescribir y eliminar archivos.
Dado que los procesos de software de seguridad suelen estar protegidos contra la manipulación por parte de las aplicaciones normales, STONESTOP carga el controlador en modo kernel POORTRY firmado por Microsoft para finalizar los procesos protegidos asociados o los servicios de Windows.
La respuesta de microsoft
Microsoft ha publicado actualizaciones de seguridad para revocar los certificados utilizados por los archivos maliciosos y ya ha suspendido las cuentas utilizadas para enviar los controladores a firmar.
También se lanzaron nuevas firmas de Microsoft Defender (1.377.987.0) para detectar controladores firmados legítimos en ataques posteriores a la explotación.
Microsoft mostró por error un prototipo de la interfaz de usuario del próximo Windows
Sin embargo, Microsoft aún debería de compartir cómo los controladores maliciosos pudieron pasar el proceso de revisión en primer lugar.
Relacionado
30.000 Organizaciones hackeadas por un ataque a través de Microsoft Exchange Server En los últimos días, al menos 30.000 organizaciones en los Estados Unidos, incluida una cantidad significativa de pequeñas empresas, pueblos, ciudades y gobiernos locales; han sido pirateadas por una unidad de ciberespionaje china inusualmente agresiva que se enfoca en robar correos electrónicos de organizaciones. El grupo de espionaje está explotando cuatro fallas recientemente descubiertas en el software de correo electrónico de Microsoft Exchange Server y ha ¡SEGUIR LEYENDO!
5 Pasos para Mejorar la Seguridad en Microsoft Teams En un mundo donde la comunicación digital es fundamental para la productividad empresarial, las aplicaciones de chat SaaS como Microsoft Teams, se han convertido en una herramienta indispensable. Sin embargo, con esta dependencia creciente también vienen riesgos significativos de seguridad cibernética que a menudo son subestimados. En un reciente ataque que tuvo lugar en Microsoft Teams, los atacantes aprovecharon la plataforma para enviar más de 1.000 ¡SEGUIR LEYENDO!
¿Qué significa ABM? Cualquier cosa menos Microsoft ABM es la abreviatura de Anything but Microsoft (cualquier cosa menos Microsoft) que hace referencia a una actitud que refleja el descontento general con el dominio de Microsoft en ciertos mercados. La mentalidad de cualquier cosa menos Microsoft ha sido alentada por proveedores que ofrecen alternativas a los productos populares de Microsoft. Microsoft ha tenido muchos productos dominantes, incluido su software de servidor, el software operativo ¡SEGUIR LEYENDO!
Amazon quita el título de marca más valiosa del mundo a Apple Apple perdió el título de la marca más valiosa del mundo en el ranking Brand Finance Global 500. Ahora es Amazon, el minorista en línea más grande del mundo el que vuelve a ser el líder en este peculiar ranking. https://ciberninjas.com/apple-lanza-ios-16-2/ A pesar de perder 51 mil millones de dólares de valor, en comparación al ranking del año pasado, Amazon vuelve a encabezar está lista; puesto ¡SEGUIR LEYENDO!
5 Aprendizajes de liderazgo de Satya Nadella Microsoft está dirigida actualmente por Satya Nadella, el tercer y actual director general de la empresa. Es una posición que Nadella se ha ganado, gracias a su ingenio empresarial y habilidades comerciales. https://ciberninjas.com/como-satya-nadella-cambia-microsoft/ 1. Siempre reinventándote Nadella tuvo que evolucionar en función de los equipos con los que trabajaba y las divisiones que le encomendaban para poder llegar a liderar diferentes divisiones. Durante sus 22 años ¡SEGUIR LEYENDO!
Ataque Cibernético al Hospital Infantil Lurie: Conoce el Impacto de las Operaciones El Hospital Infantil Lurie, una destacada instalación de atención pediátrica con sede en Chicago, enfrentó un grave revés al convertirse en víctima de un ciberataque. Este incidente imprevisto obligó al hospital a desconectar sus sistemas de TI, perturbando las operaciones habituales y causando retrasos en la atención médica para algunos pacientes. El Incidente de Ciberseguridad El hospital, conocido por su papel significativo en la atención pediátrica, ¡SEGUIR LEYENDO!
Ataque KeyTrap tiene Acceso a Internet Interrumpido con un Paquete DNS Una vulnerabilidad grave denominada KeyTrap en la función Extensiones de seguridad del sistema de nombres de dominio (DNSSEC) podría explotarse para denegar el acceso a Internet a las aplicaciones durante un período prolongado. Registrado como CVE-2023-50387, KeyTrap es un problema de diseño en DNSSEC y afecta a todas las implementaciones o servicios populares del sistema de nombres de dominio (DNS). Permite a un atacante remoto provocar ¡SEGUIR LEYENDO!
