Microsoft no detecta abusos en una función de parcheo de Windows durante 7 años

hacker

Una banda de piratas informáticos, probablemente patrocinados por el estado, ha estado causando estragos en las agencias gubernamentales y las empresas de telecomunicaciones con sede en el sur y el sudeste de Asia desde 2009 utilizando una función menos conocida en Windows.

Por qué Microsoft tardó alrededor de siete años en descubrir los abusos realizados en la función de Windows llamada hotpatching, solo el gigante del software puede decirlo. Pero en su informe hecho público recientemente, el gigante del software dijo que el grupo de atacantes apuntó a organizaciones de defensa, comunidades de inteligencia, diplomáticos y compañías de telecomunicaciones en Malasia, Indonesia y China, lo que indica que los ataques estaban destinados a realizar ciberespionaje.

hacker

Calificándose a sí mismos como Platinum, el grupo de atacantes ha estado empleando tácticas cautelosas para no causar una señal en el radar de las herramientas de detección. Por ejemplo, Platinum ha estado minimizando su frecuencia de ataque cada año.

La función de parcheo en caliente de Windows se presentó junto con Windows Server 2003 y la herramienta se desvaneció cuando se introdujo Windows 8 porque Microsoft encontró la función inútil para millones de usuarios de Windows. Cuando cayó en la oscuridad, los piratas informáticos Platinum comenzaron a usar la función para cargar código malicioso en los procesos de Windows en ejecución. Debido a que aprovecharon el hotpatching, los servidores no tuvieron que reiniciarse.

También parece que los atacantes detrás del abuso de hotpatching tenían acceso privilegiado previo a los sistemas de la víctima porque hotpatching requiere autoridad de administrador para funcionar. Un vector de ataque utilizado por los piratas informáticos Platinum fue el spear phishing, que combinaron con un archivo fraudulento de Microsoft Office destinado a abusar de fallas no reparadas y crear puertas traseras a las computadoras. Afortunadamente, estas vulnerabilidades ya han sido reparadas.

El uso de la función de parcheo hace que el ataque Platinum sea menos perceptible para el radar de Microsoft porque la mayoría de las herramientas antivirus están diseñadas para rastrear procesos que no son nativos del sistema, lo que significa que pueden ser realizados por terceros para métodos de inyección. Hotpatching, por otro lado, es un proceso nativo en Windows y se utiliza para inyectar código en las máquinas. Si, de lo contrario, los atacantes no pueden inyectar código a través del parche, la función intentará utilizar otras técnicas de inyección para código más común en los procesos de Windows. Esto proporciona a los atacantes una amplia variedad de opciones para inyectar código malicioso.

El Platinum es un grupo avanzado de amenazas persistentes y contiene un tesoro de puertas traseras y kits de malware, y trabaja furtivamente haciendo que su malware se auto-borre. Los códigos del grupo están diseñados de manera que infecten una máquina que ya ha sido comprometida para mantener su pista oculta al software antivirus.

0 Shares