Todos los usuarios de Windows deberían actualizar inmediatamente ya que se confirma el hack de 'Control Completo'

Hace un par de semanas, investigadores de la empresa de ciberseguridad Eclypsium revelado que casi todos los principales fabricantes de hardware tienen una falla que puede permitir que las aplicaciones maliciosas obtengan privilegios de kernel a nivel de usuario, obteniendo así acceso directo al firmware y al hardware.

Los investigadores publicaron una lista de proveedores de BIOS y fabricantes de hardware que incluía a Toshiba, ASUS, Huawei, Intel, Nvidia y más. La falla también afecta a todas las nuevas versiones de Windows, que incluyen Windows 7, 8, 8.1 y Windows 10. Si bien Microsoft ya ha publicado una declaración que confirma que Windows Defender es más que capaz de manejar el problema, no mencionaron que los usuarios necesitan estar en la última versión de Windows para beneficiarse de la misma. Para las versiones anteriores de Windows, Microsoft señaló que utilizará la capacidad HVCI (Integridad de código aplicada por hipervisor) para incluir en la lista negra los controladores que se les informan. Lamentablemente, esta función solo está disponible en los procesadores Intel de 7.ª generación y posteriores; por lo tanto, las CPU más antiguas, o las más nuevas en las que HCVI está deshabilitado, requieren que los controladores se desinstalen manualmente.

Si esto no fuera suficiente malas noticias, los piratas ahora han logrado usar la falla para explotar a los usuarios. El troyano de acceso remoto o RAT ha existido durante años, pero los desarrollos recientes lo han hecho más peligroso que nunca. El NanoCore RAT solía venderse en Dark Web por $ 25, pero fue descifrado en 2014 y la versión gratuita se puso a disposición de los piratas informáticos. Después de esto, la herramienta se volvió más sofisticada a medida que se le agregaban nuevos complementos. Ahora, los investigadores de LMNTRX Labs han descubierto una nueva adición que permite a los piratas informáticos aprovechar la falla y la herramienta ahora está disponible de forma gratuita en Dark Web.

En caso de que esté subestimando la herramienta, puede permitir que un pirata informático apague o reinicie el sistema de forma remota, busque archivos de forma remota, acceda y controle el Administrador de tareas, el Editor del registro e incluso el mouse. No solo eso, sino que el atacante también puede abrir páginas web, desactivar la luz de actividad de la cámara web para espiar a la víctima sin ser notado y capturar audio y video. Dado que el atacante tiene acceso completo a la computadora, también puede recuperar contraseñas y obtener credenciales de inicio de sesión mediante un registrador de teclas, así como bloquear la computadora con un cifrado personalizado que puede actuar como ransomware.

La buena noticia es que NanoCore RAT existe desde hace años, el software es bien conocido por los investigadores de seguridad. equipo LMNTRX (vía Forbes) dividió las técnicas de detección en tres categorías principales:

• T1064 – Secuencias de comandos: Dado que los administradores de sistemas suelen utilizar secuencias de comandos para realizar tareas rutinarias, cualquier ejecución anómala de programas de secuencias de comandos legítimos, como PowerShell o Wscript, puede indicar un comportamiento sospechoso. Verificar los archivos de Office en busca de código de macro también puede ayudar a identificar las secuencias de comandos utilizadas por los atacantes. Los procesos de Office, como winword.exe que generan instancias de cmd.exe, o aplicaciones de secuencias de comandos como wscript.exe y powershell.exe, pueden indicar actividad maliciosa.

• T1060 – Claves de ejecución del registro/carpeta de inicio: Supervisar el Registro en busca de cambios para ejecutar claves que no se correlacionen con el software conocido o los ciclos de parches, y supervisar la carpeta de inicio en busca de adiciones o cambios, puede ayudar a detectar malware. Los programas sospechosos que se ejecutan al inicio pueden aparecer como procesos atípicos que no se han visto antes en comparación con los datos históricos. Soluciones como LMNTRIX Respond, que monitorea estas ubicaciones importantes y genera alertas ante cualquier cambio o adición sospechosa, pueden ayudar a detectar estos comportamientos.

• T1193 – Anexo de pesca submarina: Los sistemas de detección de intrusos en la red, como LMNTRIX Detect, se pueden usar para detectar el phishing con archivos adjuntos maliciosos en tránsito. En el caso de LMNTRIX Detect, las cámaras de detonación integradas pueden detectar archivos adjuntos maliciosos en función del comportamiento, en lugar de las firmas. Esto es fundamental, ya que la detección basada en firmas a menudo no protege contra los atacantes que cambian y actualizan con frecuencia sus cargas útiles.

En general, estas técnicas de detección se aplican a organizaciones y usuarios personales/domésticos. Lo mejor que se puede hacer ahora es actualizar cada pieza de software para asegurarse de que se ejecuta en la última versión. Esto incluye controladores de Windows, software de terceros e incluso actualizaciones de Windows. Lo que es más importante, no descargue ni abra ningún correo electrónico sospechoso ni instale ningún software de terceros de un proveedor desconocido.