Check Point Research detecta un ataque masivo mediante la explotación de drivers de Microsoft que evaden las medidas de seguridad de Windows

Check Point Research detecta un ataque masivo mediante la explotación de drivers de Microsoft que evaden las medidas de seguridad de Windows

• El 75% de los sistemas comprometidos pertenecían a empresas ubicadas en China.
• Análisis conductual, escaneo heurístico, comprobación de integridad de drivers para identificar actividades sospechosas y una estrategia de seguridad orientada a la prevención son las claves para mantenerse a salvo de este tipo de amenazas.

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, alertar sobre cómo los atacantes explotan vulnerabilidades en drivers (controladores) y componentes que operan en modo kernel (ejecutar procesos o software dentro de la parte central del sistema operativo).

En 2015, Microsoft creó una política que obligaba a firmar digitalmente todos los nuevos drivers para evitar su explotación, pero permitía la ejecución de los creados antes de 2015, brecha que aprovecharon por los atacantes. Concretamente, se explotó una versión antigua del driver Truesight.sys (versión 2.0.2), conocido por contener vulnerabilidades en versiones posteriores.

Para evadir aún más la detección, los atacantes generaron 2.500 variantes del driver 2.0.2, cambiando pequeñas partes de su estructura para modificar su hash, aunque mantuvieron la validez de la firma digital. Esto garantizaba que, si una variante era detectada, las demás quedaban libres. Los atacantes usaron infraestructura alojada en la región China de un proveedor de nube pública. Cerca del 75% de los sistemas comprometidos pertenecían a empresas ubicadas en China, mientras que el resto estaban ubicados en otras partes de Asia como Singapur y Taiwán.

Los investigadores de Check Point Research detectaron el ataque e informaron al Centro de Respuesta de Seguridad de Microsoft. Posteriormente, Microsoft ha actualizado la Microsoft Vulnerable Driver Blocklist (lista de bloqueo de drivers vulnerables), incluyendo la versión 2.0.2 del driver Truesight.sys. Esta actualización, realizada el 17 de diciembre de 2024, ha bloqueado eficazmente todas las variantes del driver explotadas en esta campaña. Desde Check Point Research quieren señalar lo que este ataque ha permitido hacer a los ciberdelincuentes:

• Desactivar productos de seguridad en los sistemas afectados.
• Distribuir malware mediante campañas de phishing.
• Tomar el control total de los dispositivos comprometidos, obteniendo acceso no autorizado para el robo de datos, vigilancia y manipulación de sistemas.

En relación a las similitudes con muestras previas y patrones históricos de objetivos, Check Point Research establece con una confianza media-alta que esta campaña podría estar vinculada al grupo Silver Fox. Ante esta situación los investigadores quieren señalar ciertas recomendaciones:

• Es crucial ir más allá de la detección basada en firmas, usando análisis conductual, escaneo heurístico y comprobación de integridad de drivers para identificar actividades sospechosas.
• Es fundamental una estrategia de seguridad orientada a la prevención, detectando las amenazas antes de que puedan afectar los sistemas.

“Este ataque pone de manifiesto lo rápido que evolucionan las amenazas en ciberseguridad. Cada día nos enfrentamos a métodos más ingeniosos y sofisticados que buscan nuevas vías para vulnerar sistemas. El uso de drivers antiguos y vulnerables, capaces de burlar nuestros sistemas actuales, resalta lo importante que es mantenerse siempre un paso adelante con estrategias proactivas y avanzadas”, alerta Eusebio Nieva, director técnico de Check Point Software para España y Portugal.

 

 

. Leer artículo completo en Frikipandi Check Point Research detecta un ataque masivo mediante la explotación de drivers de Microsoft que evaden las medidas de seguridad de Windows.

Entradas recientes para Check Point Research detecta un ataque masivo mediante la explotación de drivers de Microsoft que evaden las medidas de seguridad de Windows

1. Check Point Research detecta un ataque masivo mediante la explotación de drivers de Microsoft que evaden las medidas de seguridad de Windows
2. ¡Enfréntate ya a Gallywix en Minahonda! La nueva actualización de World of Warcraft ya está disponible
3. Gran Turismo 7 supera los 100 coches de contenido gratuito con su nueva actualización que incluye un inesperado modelo histórico de Mercedes
4. El nuevo tráiler de Xenoblade Chronicles X: Definitive Edition muestra en profundidad su mundo gigantesco
5. La primera función AI Deepfake Detection de HONOR estará disponible en todo el mundo a partir de abril de 2025