AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**El uso de un controlador firmado por Microsoft permite a ransomware desactivar software de seguridad**

### 1. Introducción

En los últimos días, la comunidad de ciberseguridad ha alertado sobre una campaña de ransomware que emplea un controlador malicioso firmado digitalmente por Microsoft para desactivar soluciones de seguridad a nivel de kernel. La utilización de un binario legítimamente firmado otorga al atacante capacidades avanzadas de evasión, permitiendo la persistencia y ejecución de cargas maliciosas sin ser detectado por herramientas tradicionales de defensa. Este incidente, que afecta a diversas versiones de Windows, subraya la necesidad de revisar los procesos de validación y firma de controladores, especialmente ante el auge de ataques dirigidos a infraestructuras críticas y organizaciones sujetas a normativas como GDPR y NIS2.

### 2. Contexto del Incidente o Vulnerabilidad

El incidente salió a la luz tras investigaciones de varios equipos de respuesta ante incidentes (CSIRT) y analistas forenses, quienes identificaron la presencia de un controlador firmado por Microsoft en sistemas comprometidos durante ataques de ransomware recientes. El controlador, identificado como «Netfilter» y con hash SHA256 específico, fue utilizado para desactivar procesos de defensa a nivel de kernel, entre ellos antivirus, EDR y soluciones de monitorización. El proceso de firma fue posible gracias al programa de firma de hardware de Microsoft, que, tras la presentación de un archivo aparentemente legítimo, otorgó su firma digital. Este vector ha sido explotado activamente por grupos de amenazas avanzadas (APT) y operadores de ransomware como BlackByte y Cuba.

### 3. Detalles Técnicos

#### CVE y versiones afectadas

El controlador malicioso ha sido rastreado bajo el identificador provisional CVE-2024-XXXX (en proceso de asignación oficial). Las versiones afectadas incluyen Windows 10 y 11 (32 y 64 bits) y Windows Server 2016/2019/2022, en configuraciones donde el modo de arranque seguro de controladores («Driver Signature Enforcement») está activo.

#### Vectores de ataque

El vector principal se basa en la inyección y ejecución del controlador malicioso desde un proceso con privilegios elevados. Los atacantes obtienen acceso administrativo (local o remoto), despliegan el driver firmado y lo cargan empleando utilidades estándar de Windows o mediante frameworks ofensivos como Metasploit y Cobalt Strike. El driver interactúa directamente con el kernel, permitiendo la manipulación de procesos protegidos, la anulación de políticas de protección y la desactivación de soluciones de seguridad.

#### TTP (MITRE ATT&CK)

– **T1068 – Exploitation for Privilege Escalation**: Uso de un controlador para elevar privilegios.
– **T1562.001 – Impair Defenses: Disable or Modify Tools**: Desactivación de soluciones de seguridad.
– **T1014 – Rootkit**: Persistencia y ocultación mediante driver malicioso.
– **IoC**: Firma digital Microsoft Windows Hardware Compatibility Publisher, hash SHA256 del driver, creación de servicios con nombre arbitrario, modificaciones en el registro para persistencia.

### 4. Impacto y Riesgos

El impacto es significativo: la capacidad de desactivar software de seguridad a nivel de kernel implica la total evasión de defensas en endpoints, servidores y estaciones críticas. Grupos de ransomware han empleado esta táctica para garantizar la ejecución de sus cargas útiles y maximizar la efectividad del cifrado, incrementando la probabilidad de éxito en la extorsión. Según datos de Malwarebytes y Sophos, se han observado al menos 100 organizaciones afectadas durante las últimas semanas, con pérdidas económicas superiores a los 12 millones de euros y filtración de datos sensibles. Además, la utilización de un driver firmado complica la atribución y el análisis forense, dificultando la respuesta y remediación.

### 5. Medidas de Mitigación y Recomendaciones

Microsoft ha revocado la firma digital del controlador y actualizado sus listas de bloqueo en Defender y Windows Update. Para mitigar el riesgo, se recomienda:

– Implementar políticas estrictas de control de dispositivos y carga de drivers (Device Guard, WDAC).
– Actualizar inmediatamente las definiciones y motores de seguridad.
– Monitorizar la creación y carga de drivers no autorizados.
– Auditar logs de eventos de seguridad (canal 7045 y 7000) en busca de comportamientos anómalos.
– Restringir el acceso administrativo y segmentar la red.
– Considerar el uso de soluciones EDR con capacidades de detección a nivel de kernel.

### 6. Opinión de Expertos

Expertos como Kevin Beaumont y investigadores de SentinelOne subrayan que este incidente pone de manifiesto las limitaciones del actual modelo de confianza basado en la firma digital. «La automatización en los procesos de firma puede ser aprovechada por actores maliciosos, por lo que urge una revisión profunda de los mecanismos de validación y monitorización post-firma», destaca Beaumont. Asimismo, recomiendan la integración de inteligencia de amenazas y la aplicación de listas de bloqueo incluso para binarios firmados.

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, el incidente supone un riesgo directo de cumplimiento regulatorio bajo GDPR y NIS2, dada la posible filtración de datos personales y la interrupción de servicios esenciales. Los CISOs deben reforzar los controles sobre la cadena de suministro de software y exigir transparencia a proveedores de hardware y software. Para los usuarios, especialmente en entornos corporativos, es crucial no operar con privilegios administrativos y reportar cualquier anomalía en el comportamiento del sistema.

### 8. Conclusiones

El uso de controladores legítimamente firmados como vector de ataque representa una evolución preocupante en las tácticas de ransomware, facilitando la desactivación de defensas y la persistencia en sistemas críticos. La industria debe revisar y endurecer los procesos de firma y distribución de software a nivel de kernel, así como mejorar la monitorización de comportamientos anómalos, especialmente en torno a la carga de drivers. Solo mediante un enfoque proactivo y la colaboración entre fabricantes, analistas y responsables de seguridad será posible mitigar estos riesgos emergentes.

(Fuente: www.darkreading.com)