¡¿Qué carajo?! Microsoft se convirtió en víctima de sus propias políticas cuando la empresa dejó sin resolver un peligroso problema de seguridad durante meses. El grupo de hackers norcoreano conocido como Lazarus se aprovechó de la situación obteniendo acceso casi ilimitado al núcleo más interno de Windows: el kernel.
Durante seis meses, Microsoft fue consciente de una vulnerabilidad de seguridad de día cero explotada activamente por los piratas informáticos. La banda de cibercriminales Lazarus había estado utilizando la falla desde agosto de 2023 como medio para instalar un rootkit conocido como FudModule.
Según los investigadores de Avast, Módulo Fud es un malware excepcionalmente sigiloso y avanzado, pero Microsoft hizo la vida de los piratas informáticos mucho más fácil al tratar esencialmente la peligrosa falla como si no fuera un problema.
El error, rastreado por Microsoft como CVE-2024-21338, es una vulnerabilidad de elevación de privilegios del kernel de Windows. En teoría, los usuarios malintencionados con acceso administrativo podrían aprovechar la vulnerabilidad para interactuar fácilmente con el kernel del sistema operativo. Microsoft políticas oficiales sobre los criterios de servicio de seguridad afirman que este tipo de problema “de administrador a kernel” no califica como un límite de seguridad, lo que significa que la compañía probablemente no se apresurará a cerrar el error en el corto plazo.
Avast afirma que obtener acceso ilimitado al kernel es el “santo grial” de cualquier rootkit, una amenaza sigilosa generalmente diseñada para subvertir las medidas de seguridad del sistema operativo sin proporcionar señales directas de sus acciones. El acceso al kernel se puede lograr explotando vulnerabilidades conocidas en controladores de terceros, un enfoque conocido como BYOVD (Traiga su propio controlador vulnerable).
BYOVD es una técnica “ruidosa” que puede ser interceptada y frustrada por los usuarios o las protecciones de seguridad, según Avast. Sin embargo, la falla CVE-2024-21338 reside en el controlador del servicio AppLocker nativo de Windows (appid.sys).
Gracias a CVE-2024-21338 y la negligencia de Microsoft al abordar adecuadamente el problema, el rootkit FudModule proporcionó a los piratas informáticos de Lazarus una forma de hacer básicamente todo lo que querían en un sistema Windows. El malware podría fácilmente eludir las medidas de seguridad, ocultar por completo los signos de sus acciones maliciosas (archivos de disco, procesos de memoria, actividad de red, etc.) y más.
Microsoft finalmente lanzó un parche para solucionar CVE-2024-21338 en febrero de 2024, pero el boletín de seguridad original no proporcionó información relevante sobre el verdadero alcance y peligro del problema. Después de que Avast revelara públicamente la vulnerabilidad 15 días después, Microsoft aparentemente se vio obligado a actualizar su boletín.
Los expertos en seguridad ahora sostienen posturas conflictivas sobre el comportamiento de los de Redmond con CVE-2024-21338. El investigador independiente Kevin Beaumont afirmó que tener la “mayor capitalización de mercado del mundo” probablemente proporcionaría fondos suficientes para invertir adecuadamente en seguridad, mientras que Will Dormann (Analygence) dijo que Microsoft podría haber tenido una “muy buena razón” (o diferentes prioridades de ingeniería). ) para posponer el parche CVE-2024-21338 por seis meses.
2024-03-05 21:07:00
#Microsoft #dejó #error #día #cero #nivel #kernel #Windows #durante #seis #meses #antes #parchearlo,