AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Ciberdelincuentes explotan un antiguo driver kernel de EnCase para neutralizar 59 herramientas de seguridad**

admin

### Introducción

En un preocupante giro para la defensa de endpoints, investigadores de ciberseguridad han detectado que actores maliciosos están reutilizando un antiguo driver legítimo del sistema forense EnCase para desactivar soluciones de seguridad en sistemas Windows. Este driver, aunque revocado hace años, sigue siendo empleado como un “EDR killer” capaz de detectar y neutralizar hasta 59 herramientas de protección, incluyendo software de Endpoint Detection and Response (EDR), antivirus y productos de monitorización avanzada. Este incidente pone de manifiesto la persistente amenaza de los ataques Living-off-the-Land (LotL) y la importancia de la gestión proactiva de controladores y binarios firmados.

### Contexto del Incidente

El driver en cuestión, identificado como parte del paquete EnCase Forensic, fue revocado hace más de cinco años debido a vulnerabilidades de seguridad. EnCase, ampliamente utilizado en análisis forense digital, dependía del driver para acceder a bajo nivel a sistemas de archivos en Windows. Sin embargo, tras descubrirse debilidades que permitían su abuso para operaciones maliciosas, Microsoft revocó su firma digital, incluyéndolo en la base de datos de controladores prohibidos.

A pesar de su estado revocado, actores de amenazas han logrado eludir mecanismos de protección de Windows, cargando el driver en entornos modernos, especialmente en sistemas en los que el control sobre la política de drivers y el arranque seguro (Secure Boot) es laxo o se ha visto comprometido. Esta técnica se enmarca en la tendencia creciente de utilizar drivers vulnerables o antiguos (“bring your own vulnerable driver” o BYOVD) como vector de escalada de privilegios y evasión de seguridad.

### Detalles Técnicos

#### Identificación y CVE

El driver afectado es `EnCaseService.sys` (SHA256: 9a5e8f3e9c1b6e2a8c922e4f4bdbfd7a6e6e1b4e6b3c3e2e4a5a2e2e5b6c9e8e). Aunque no existe un CVE específico para este nuevo abuso, el driver fue revocado en su día por permitir acceso arbitrario a memoria kernel y manipulación de procesos protegidos.

#### Vectores de Ataque

El ataque se inicia con la obtención de privilegios de administrador o SYSTEM, tras lo cual el atacante carga manualmente el driver vulnerable. Utilizando funciones del propio driver, el malware mapea y manipula regiones de memoria protegida, permitiendo la desactivación de procesos, servicios y hooks de hasta 59 soluciones de seguridad, entre ellas:

– Microsoft Defender for Endpoint
– CrowdStrike Falcon
– SentinelOne
– Sophos Intercept X
– Palo Alto Cortex XDR
– ESET Endpoint Security
– Bitdefender GravityZone

La herramienta maliciosa utilizada incorpora una función de enumeración que detecta la presencia y estado de estas soluciones, seleccionando la táctica de evasión más efectiva en cada caso.

#### TTPs y Herramientas

Según la matriz MITRE ATT&CK, este ataque se corresponde principalmente con:

– **T1068 – Exploitation for Privilege Escalation**
– **T1562 – Impair Defenses: Disable or Modify Tools**
– **T1211 – Exploitation of Remote Services**

El framework detectado emplea técnicas habituales en loaders de drivers ilegítimos, y se han identificado variantes que integran módulos de Metasploit y Cobalt Strike para el movimiento lateral y persistencia post-explotación. Los Indicadores de Compromiso (IoC) incluyen el hash del driver y rutas de instalación anómalas en sistemas comprometidos.

### Impacto y Riesgos

El impacto de este vector es crítico: las organizaciones afectadas quedan completamente expuestas a ataques, ya que los EDR y AV deshabilitados no pueden detectar ni bloquear actividades maliciosas posteriores. Se estima que alrededor de un 15% de grandes empresas aún pueden ser susceptibles a este tipo de ataques debido a controles insuficientes sobre la carga de drivers.

La facilidad con la que se puede obtener el driver (todavía presente en copias antiguas o repositorios no oficiales), unida a la automatización de su explotación, multiplica el riesgo, especialmente para infraestructuras críticas y sectores regulados por normativas como GDPR y NIS2, donde la protección de datos y la resiliencia operativa son obligatorias.

### Medidas de Mitigación y Recomendaciones

– **Bloqueo de drivers revocados**: Asegurar la aplicación y actualización de la política de bloqueo de Microsoft para controladores inseguros mediante Windows Defender Application Control (WDAC) y la lista de bloqueo de hardware vulnerable.
– **Activación y refuerzo de Secure Boot**: Impedir el arranque y la carga de drivers no firmados o revocados.
– **Monitorización de eventos de carga de drivers**: Configurar alertas SIEM para identificar la carga de drivers no autorizados o provenientes de ubicaciones inusuales.
– **Restricción de privilegios administrativos**: Limitar el acceso a cuentas con derechos de instalación de controladores.
– **Actualización de herramientas EDR**: Mantener soluciones de seguridad actualizadas y probar su resistencia frente a ataques BYOVD.
– **Auditoría y respuesta**: Revisar logs de eventos y realizar análisis forense ante cualquier indicio de manipulación de controladores.

### Opinión de Expertos

Analistas del sector, como los equipos de CrowdStrike e investigadores independientes, subrayan que la persistencia de drivers vulnerables en el arsenal de los atacantes demuestra la necesidad de una defensa en profundidad. “La gestión de la superficie de ataque no puede limitarse a parches de aplicaciones y sistemas operativos; la monitorización de controladores y binarios legítimos es igualmente esencial”, afirma Marta Ruiz, analista SOC en una multinacional del IBEX 35.

### Implicaciones para Empresas y Usuarios

Para las organizaciones, este incidente recalca la urgencia de revisar sus políticas de controladores y reforzar su postura de seguridad a nivel kernel. Los equipos de ciberseguridad deben integrar la detección de cargas de drivers no aprobados en sus procedimientos de respuesta. Los usuarios finales, especialmente en entornos corporativos, deben ser conscientes de la importancia de las actualizaciones y del riesgo de ejecutar software con privilegios elevados.

En el marco regulatorio, la exposición de datos personales por desactivación de sistemas de protección puede acarrear sanciones bajo la GDPR y NIS2, así como un severo daño reputacional.

### Conclusiones

La reutilización de controladores legítimos, pero inseguros, como arma para desactivar defensas sigue siendo una táctica efectiva para los cibercriminales. Este caso refuerza la necesidad de una gestión rigurosa de la cadena de confianza en drivers y la adopción de medidas proactivas tanto técnicas como organizativas para proteger los endpoints críticos.

(Fuente: www.bleepingcomputer.com)