Microsoft ha revocado varias cuentas de desarrolladores de hardware de Microsoft después de que los controladores firmados a través de sus perfiles se usaran en ataques cibernéticos, incluidos incidentes de ransomware.
La noticia llega en una divulgación coordinada entre Microsoft , Mandiant , Sophos y SentinelOne.
Los investigadores explican que los piratas informáticos estaban utilizando controladores de hardware maliciosos en modo kernel cuya confianza se verifica con las firmas Authenticode del Programa de desarrollo de hardware de Windows de Microsoft.
“Microsoft fue informado de que los controladores certificados por el Programa de desarrollo de hardware de Windows de Microsoft se estaban utilizando maliciosamente en actividades posteriores a la explotación. En estos ataques, el atacante ya había obtenido privilegios administrativos en sistemas comprometidos antes de usar los controladores”, explica el aviso de Microsoft.
Estos privilegios podrían permitir que un controlador realice varias tareas maliciosas que normalmente no se permiten para las aplicaciones en modo de usuario.
Entre otras acciones, se incluyen finalizar el software de seguridad, eliminar archivos protegidos y actuar como rootkits para ocultar otros procesos.
Como los desarrolladores necesitan comprar un certificado de validación extendida (EV), pasar por un proceso de identificación y enviar controladores examinados por Microsoft, muchas plataformas de seguridad confían automáticamente en el código firmado por Microsoft a través de Windows.
Por esa razón, la capacidad de firmar un controlador en modo kernel por parte de Microsoft para usarlo en campañas maliciosas es un bien altamente preciado para un pirata informático.
Kits de herramientas utilizado para terminar el software de seguridad
En los informes publicados, los investigadores explican cómo encontraron un nuevo conjunto de herramientas que consta de dos componentes llamados STONESTOP (cargador) y POORTRY (controlador en modo kernel) que se utilizan en los ataques.
Según Mandiant y SentinelOne, STONESTOP es una aplicación en modo de usuario que intenta finalizar los procesos de software de seguridad de punto final de un dispositivo.
En otra variante, se incluye la capacidad de sobrescribir y eliminar archivos.
Dado que los procesos de software de seguridad suelen estar protegidos contra la manipulación por parte de las aplicaciones normales, STONESTOP carga el controlador en modo kernel POORTRY firmado por Microsoft para finalizar los procesos protegidos asociados o los servicios de Windows.
La respuesta de microsoft
Microsoft ha publicado actualizaciones de seguridad para revocar los certificados utilizados por los archivos maliciosos y ya ha suspendido las cuentas utilizadas para enviar los controladores a firmar.
También se lanzaron nuevas firmas de Microsoft Defender (1.377.987.0) para detectar controladores firmados legítimos en ataques posteriores a la explotación.
En los últimos días, al menos 30.000 organizaciones en los Estados Unidos, incluida una cantidad significativa de pequeñas empresas, pueblos, ciudades y gobiernos locales; han sido pirateadas por una unidad de ciberespionaje china inusualmente agresiva que se enfoca en robar correos electrónicos de organizaciones. El grupo de espionaje está explotando cuatro fallas recientemente descubiertas en el software de correo electrónico de Microsoft Exchange Server y ha ¡SEGUIR LEYENDO!
En un mundo donde la comunicación digital es fundamental para la productividad empresarial, las aplicaciones de chat SaaS como Microsoft Teams, se han convertido en una herramienta indispensable. Sin embargo, con esta dependencia creciente también vienen riesgos significativos de seguridad cibernética que a menudo son subestimados. En un reciente ataque que tuvo lugar en Microsoft Teams, los atacantes aprovecharon la plataforma para enviar más de 1.000 ¡SEGUIR LEYENDO!
ABM es la abreviatura de Anything but Microsoft (cualquier cosa menos Microsoft) que hace referencia a una actitud que refleja el descontento general con el dominio de Microsoft en ciertos mercados. La mentalidad de cualquier cosa menos Microsoft ha sido alentada por proveedores que ofrecen alternativas a los productos populares de Microsoft. Microsoft ha tenido muchos productos dominantes, incluido su software de servidor, el software operativo ¡SEGUIR LEYENDO!
Apple perdió el título de la marca más valiosa del mundo en el ranking Brand Finance Global 500. Ahora es Amazon, el minorista en línea más grande del mundo el que vuelve a ser el líder en este peculiar ranking. https://ciberninjas.com/apple-lanza-ios-16-2/ A pesar de perder 51 mil millones de dólares de valor, en comparación al ranking del año pasado, Amazon vuelve a encabezar está lista; puesto ¡SEGUIR LEYENDO!
Microsoft está dirigida actualmente por Satya Nadella, el tercer y actual director general de la empresa. Es una posición que Nadella se ha ganado, gracias a su ingenio empresarial y habilidades comerciales. https://ciberninjas.com/como-satya-nadella-cambia-microsoft/ 1. Siempre reinventándote Nadella tuvo que evolucionar en función de los equipos con los que trabajaba y las divisiones que le encomendaban para poder llegar a liderar diferentes divisiones. Durante sus 22 años ¡SEGUIR LEYENDO!
El Hospital Infantil Lurie, una destacada instalación de atención pediátrica con sede en Chicago, enfrentó un grave revés al convertirse en víctima de un ciberataque. Este incidente imprevisto obligó al hospital a desconectar sus sistemas de TI, perturbando las operaciones habituales y causando retrasos en la atención médica para algunos pacientes. El Incidente de Ciberseguridad El hospital, conocido por su papel significativo en la atención pediátrica, ¡SEGUIR LEYENDO!
Una vulnerabilidad grave denominada KeyTrap en la función Extensiones de seguridad del sistema de nombres de dominio (DNSSEC) podría explotarse para denegar el acceso a Internet a las aplicaciones durante un período prolongado. Registrado como CVE-2023-50387, KeyTrap es un problema de diseño en DNSSEC y afecta a todas las implementaciones o servicios populares del sistema de nombres de dominio (DNS). Permite a un atacante remoto provocar ¡SEGUIR LEYENDO!
Usamos cookies para asegurar que te damos la mejor experiencia en nuestra web. Si continúas usando este sitio, asumiremos que estás de acuerdo con ello.AceptarNoPolítica de privacidad
Puedes revocar tu consentimiento en cualquier momento usando el botón de revocación del consentimiento.Revocar el consentimiento