Una vulnerabilidad en el servicio de informe de errores de Microsoft Windows, que fue identificada y reparada hace tres meses en la actualización del martes de parches de marzo de 2024, parece haber sido explotada como día cero por la banda de ransomware Black Basta antes de ser abordada, los usuarios han sido prevenido.
CVE-2024-26169 atrajo poca atención en marzo: fue calificado como Importante por su gravedad y se le asignó una puntuación base CVSS de 7,8, y Microsoft no había identificado ninguna prueba pública de concepto ni exploits en circulación. Si no se aborda, permite a un atacante elevar sus privilegios, por lo que podría formar un elemento de una cadena de ciberataques.
Según el equipo Threat Hunter de Symantec, sin que Microsoft lo supiera en ese momento, esto parece haber sucedido. Los investigadores dicen que han identificado y analizado una herramienta de explotación para CVE-2024-26169 implementada en ataques recientes que parece haber sido compilada antes del parche, cambiando retroactivamente el estado de la vulnerabilidad al de día cero.
“Aunque los atacantes no lograron implementar una carga útil de ransomware en este ataque, las tácticas, técnicas y procedimientos (TTP) utilizados fueron muy similares a los descritos en un informe reciente de Microsoft que detalla la actividad de Black Basta. Estos incluyeron el uso de scripts por lotes disfrazados de actualizaciones de software”, dijo el equipo Threat Hunter.
“Aunque no se desplegó ninguna carga útil, las similitudes en los TTP hacen que sea muy probable que haya sido un ataque fallido de Black Basta”.
La herramienta de explotación parece depender del hecho de que un archivo específico, werkernel.sys, utiliza un descriptor de seguridad “nulo” cuando crea claves de registro, y porque la clave principal tiene una entrada de control de acceso (ACE) “Propietario creador” para las subclaves. , todas las subclaves resultantes son propiedad de los usuarios del proceso actual.
La banda de ransomware ha aprovechado esto para crear una clave de registro específica donde establece el valor “Depurador” como nombre de ruta ejecutable, dijo Symantec. Esto, a su vez, permite que el exploit inicie un shell con derechos de administrador.
Los investigadores dijeron que hace varios meses se compilaron dos variantes diferentes de la herramienta que descubrieron, la primera el 18 de diciembre de 2023 y la segunda el 27 de febrero de 2024, aunque es importante comprender que los valores de la marca de tiempo en los ejecutables portátiles se pueden cambiar. , y una marca de tiempo específica no es en sí misma evidencia suficiente de que CVE-2024-26169 se haya utilizado como día cero.
Sin embargo, Symantec dijo que, dada la reanudación de los ataques de Black Basta tras la interrupción de su botnet Qakbot favorita en agosto de 2023, era probable que la pandilla estuviera detrás de esta herramienta en particular.
Kevin Robertson, director de operaciones y cofundador de Acumen, dijo en declaraciones anteriores que no había evidencia de que CVE-2024-26169 pudiera haber atraído a muchos administradores cibernéticos a una falsa sensación de seguridad y haber resultado en que el parche no tuviera prioridad en la forma habitual. prisa mensual.
“Las bandas de ciberdelincuentes están explotando las debilidades del software omnipresente, como Microsoft, y utilizándolas como puertas traseras a los sistemas”, afirmó. “Los proveedores de software tienen el deber de buscar y remediar continuamente vulnerabilidades; de lo contrario, están poniendo a sus clientes en grave riesgo. También tienen el deber de investigar si se han explotado vulnerabilidades antes de que se publiquen los parches, porque esto podría hacer que las organizaciones pasen por alto los compromisos.
“Para cualquier organización que aún no haya parcheado este CVE, hágalo ahora, porque en manos de un adversario como Black Basta, se ha convertido en una de las vulnerabilidades más peligrosas que existen en la actualidad”, dijo Robertson.