Ciberseguridad 360 | Vulnerabilidad zero-day de Windows sin parches explotado por 11 grupos de hackers

Once grupos estatales de China, Ir�n, Corea del Norte y Rusia han aprovechado un fallo de seguridad sin parches que afecta a Microsoft Windows como parte de campa�as de robo de datos, espionaje y motivaci�n econ�mica que se remontan a 2017.

La vulnerabilidad zero-day, rastreada por la Iniciativa de zero-day (ZDI) de Trend Micro como ZDI-CAN-25373, se refiere a un problema que permite a los malos actores ejecutar comandos maliciosos ocultos en la m�quina de una v�ctima aprovechando los archivos de acceso directo de Windows o Shell Link (.LNK).

"Los ataques aprovechan los argumentos ocultos de la l�nea de comandos dentro de los archivos .LNK para ejecutar cargas �tiles maliciosas, lo que complica su detecci�n", explican los investigadores de seguridad Peter Girnus y Aliakbar Zahravi en un an�lisis compartido con The Hacker News. "La explotaci�n de ZDI-CAN-25373 expone a las organizaciones a riesgos significativos de robo de datos y ciberespionaje".

En concreto, se trata de rellenar los argumentos con espacios en blanco (0x20), tabuladores horizontales (0x09), saltos de l�nea (0x0A), tabuladores verticales (\x0B), saltos de l�nea (\x0C) y retornos de carro (0x0D) para evitar la detecci�n.

Hasta la fecha se han descubierto casi 1.000 archivos .LNK que aprovechan ZDI-CAN-25373, la mayor�a de ellos vinculados a Evil Corp (Water Asena), Kimsuky (Earth Kumiho), Konni (Earth Imp), Bitter (Earth Anansi) y ScarCruft (Earth Manticore).

De los 11 actores de amenazas patrocinados por el Estado que se han encontrado abusando del fallo, casi la mitad proceden de Corea del Norte. Adem�s de explotar el fallo en distintos momentos, el hallazgo sirve como indicio de la colaboraci�n cruzada entre los distintos grupos de amenazas que operan dentro del aparato cibern�tico de Pyongyang.

N�mero de muestras de grupos APT que explotan ZDI-CAN-25373

Los datos de telemetr�a indican que gobiernos, entidades privadas, organizaciones financieras, grupos de reflexi�n, proveedores de servicios de telecomunicaciones y organismos militares y de defensa de Estados Unidos, Canad�, Rusia, Corea del Sur, Vietnam y Brasil se han convertido en los principales objetivos de los ataques que aprovechan la vulnerabilidad.

En los ataques analizados por ZDI, los archivos .LNK act�an como veh�culo de entrega de familias de malware conocidas como Lumma Stealer, GuLoader y Remcos RAT, entre otras. Entre estas campa�as destaca la explotaci�n de ZDI-CAN-25373 por Evil Corp para distribuir Raspberry Robin.

Microsoft, por su parte, ha clasificado el problema como de baja gravedad y no tiene previsto publicar una soluci�n.

"ZDI-CAN-25373 es un ejemplo de tergiversaci�n de informaci�n cr�tica en la interfaz de usuario (CWE-451)", afirman los investigadores. "Esto significa que la interfaz de usuario de Windows no present� al usuario informaci�n cr�tica".

"Al explotar ZDI-CAN-25373, el actor de la amenaza puede evitar que el usuario final vea informaci�n cr�tica (comandos que se est�n ejecutando) relacionada con la evaluaci�n del nivel de riesgo del archivo".

Actualizaci�n

Un portavoz de Microsoft comparti� la siguiente declaraci�n con The Hacker News tras la publicaci�n de la historia.

Apreciamos el trabajo de ZDI al presentar este informe en el marco de una divulgaci�n coordinada de vulnerabilidades. Microsoft Defender cuenta con detecciones para detectar y bloquear esta actividad de amenaza, y Smart App Control proporciona una capa adicional de protecci�n mediante el bloqueo de archivos maliciosos de Internet. Como mejor pr�ctica de seguridad, animamos a los clientes a tener precauci�n al descargar archivos de fuentes desconocidas como se indica en las advertencias de seguridad, que han sido dise�adas para reconocer y advertir a los usuarios sobre archivos potencialmente da�inos. Aunque la experiencia de la interfaz de usuario descrita en el informe no cumple los requisitos para un servicio inmediato seg�n nuestras directrices de clasificaci�n de la gravedad, estudiaremos la posibilidad de abordarla en una futura versi�n de la funci�n.

Cabe se�alar que .LNK se encuentra entre la lista de extensiones de archivo peligrosas bloqueadas en sus productos como Outlook, Word, Excel, PowerPoint y OneNote. Como resultado, al intentar abrir este tipo de archivos descargados de la web se inicia autom�ticamente una advertencia de seguridad que aconseja a los usuarios no abrir archivos de fuentes desconocidas.

Microsoft se�al� adem�s que el m�todo descrito por ZDI es de uso pr�ctico limitado para un atacante, y que el c�digo de an�lisis de contenidos de Microsoft Defender tiene la capacidad de analizar estos archivos y reconocer la t�cnica para identificar archivos maliciosos.

(La noticia se actualiz� tras su publicaci�n para incluir una respuesta de Microsoft).

Fuente: thehackernews