AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Silver Fox explota una vulnerabilidad en el driver amsdk.sys de WatchDog Anti-malware para desactivar defensas en Windows

admin

## Introducción

En los últimos días, se ha detectado una sofisticada campaña de ataques BYOVD (“Bring Your Own Vulnerable Driver”) atribuida al grupo Silver Fox, que explota una vulnerabilidad crítica en el controlador amsdk.sys, empleado por WatchDog Anti-malware. El objetivo: desactivar soluciones de seguridad a nivel kernel y facilitar la persistencia de amenazas avanzadas en sistemas Windows. Este incidente pone de relieve los riesgos asociados a controladores legítimos pero inseguros, y la creciente profesionalización de los actores de amenazas en el uso de técnicas de evasión.

## Contexto del Incidente

Silver Fox es un actor de amenazas conocido por sus campañas dirigidas y su orientación hacia la desactivación de mecanismos de seguridad en sistemas comprometidos. En esta ocasión, el grupo ha identificado y abusado de una vulnerabilidad previamente desconocida en el controlador legítimo amsdk.sys (versión 1.0.600), firmado y distribuido por WatchDog Anti-malware. Esta táctica se enmarca en la tendencia creciente de ataques BYOVD, donde los atacantes instalan drivers vulnerables en equipos comprometidos para ejecutar código privilegiado y evadir las defensas de endpoint.

El driver amsdk.sys es un controlador de 64 bits, debidamente firmado, lo que le permite cargar y ejecutar código en el espacio kernel sin disparar alertas por parte de Windows Defender o soluciones EDR convencionales. Esto convierte a la vulnerabilidad en una puerta de entrada crítica para la escalada de privilegios y la desactivación de protecciones antimalware.

## Detalles Técnicos

El ataque BYOVD explotado por Silver Fox utiliza el driver amsdk.sys versión 1.0.600. Los investigadores han identificado que este controlador permite operaciones arbitrarias de lectura y escritura en memoria kernel, sin una adecuada validación de permisos. Esto habilita múltiples vectores de ataque, entre los que se incluyen:

– **Desactivación de procesos y servicios de seguridad**: Manipulación de estructuras internas del sistema para desactivar o eliminar procesos asociados a EDR, antivirus y otras soluciones.
– **Inyección de código a nivel kernel**: Permite la carga de rootkits o la modificación de funciones críticas del sistema operativo.
– **Elusión de mecanismos de integridad**: Modificación de políticas de seguridad (PatchGuard, Control Flow Guard) y deshabilitación del Secure Boot.

El driver amsdk.sys ha sido explotado utilizando frameworks como Metasploit y Cobalt Strike, facilitando la automatización del vector BYOVD y su integración en cadenas de ataque multietapa. El ataque se alinea con las técnicas T1055 (Process Injection), T1068 (Exploitation for Privilege Escalation) y T1562.001 (Impair Defenses: Disable or Modify Tools) del framework MITRE ATT&CK. Como Indicadores de Compromiso (IoC), se destacan la presencia del fichero amsdk.sys en directorios inusuales, modificaciones en servicios de seguridad y logs relacionados con intentos fallidos de carga de drivers legítimos.

## Impacto y Riesgos

La explotación de esta vulnerabilidad permite a atacantes eludir casi cualquier defensa a nivel de endpoint, incluyendo soluciones EDR, antivirus y mecanismos de protección del kernel. Entre los riesgos asociados destacan:

– **Persistencia avanzada**: El atacante puede establecer mecanismos de backdoor resistentes incluso a reinicios y actualizaciones.
– **Robo y manipulación de datos**: Acceso a credenciales, exfiltración de información sensible y manipulación de registros del sistema.
– **Despliegue de ransomware**: Al deshabilitar las defensas, los sistemas quedan expuestos a campañas de cifrado masivo.
– **Cumplimiento normativo**: La explotación puede derivar en violaciones graves de GDPR y la directiva NIS2, exponiendo a las empresas a sanciones económicas y riesgos reputacionales.

Según estimaciones del sector, más del 60% de los ataques BYOVD detectados en 2023 se han dirigido a desactivar soluciones de seguridad, con un impacto económico medio por incidente superior a los 350.000 euros.

## Medidas de Mitigación y Recomendaciones

Se recomienda a los administradores de sistemas y responsables de seguridad:

1. **Inventario y bloqueo de drivers vulnerables**: Utilizar políticas de Device Guard y listas de bloqueo de Microsoft para impedir la carga de amsdk.sys y otros controladores inseguros.
2. **Actualización y parcheo**: Verificar con el fabricante la disponibilidad de versiones corregidas del controlador y desinstalar WatchDog Anti-malware en caso de no existir solución inmediata.
3. **Monitorización avanzada y hunting**: Implementar reglas YARA y Sigma para la detección de amsdk.sys y comportamientos asociados a BYOVD.
4. **Política de mínimos privilegios**: Restringir la capacidad de los usuarios para instalar drivers y ejecutar binarios no autorizados.
5. **Simulación de ataques**: Realizar ejercicios de Red Team para evaluar la exposición a vectores BYOVD y la eficacia de los mecanismos de protección.

## Opinión de Expertos

Según Javier Álvarez, analista senior de amenazas en una firma europea de ciberseguridad, “El abuso de drivers legítimos firmados es una de las técnicas más difíciles de mitigar y seguirá ganando relevancia en 2024. Es fundamental que los fabricantes revisen sus procesos de desarrollo seguro y que los equipos SOC estén preparados para detectar este tipo de amenazas en fases tempranas”.

Por su parte, Elena García, CISO en una empresa del sector financiero, advierte: “La gestión de drivers y la visibilidad sobre lo que se carga en el kernel son aspectos críticos que, tradicionalmente, han recibido poca atención fuera de entornos muy regulados. Este incidente debe servir como llamada de atención para toda la industria”.

## Implicaciones para Empresas y Usuarios

Las organizaciones deben revisar urgentemente su postura frente a la gestión de drivers y BYOVD. La explotación de vulnerabilidades en drivers firmados puede dejar inservibles los mecanismos EDR y antivirus, permitiendo ataques sigilosos y persistentes. Para los usuarios domésticos, el riesgo reside en la instalación de soluciones de seguridad de origen dudoso o software de utilidad que pueda incluir drivers inseguros.

A nivel regulatorio, estos incidentes pueden suponer graves incumplimientos del GDPR y la NIS2, especialmente si se produce exfiltración de datos personales o interrupciones significativas de servicio.

## Conclusiones

La campaña de Silver Fox contra WatchDog Anti-malware mediante la explotación de amsdk.sys confirma la peligrosidad de los ataques BYOVD y la necesidad de un enfoque proactivo en la gestión de controladores. El refuerzo de políticas de seguridad, la monitorización continua y la respuesta ágil ante incidentes son elementos imprescindibles para mitigar riesgos y proteger la integridad de los sistemas.

(Fuente: feeds.feedburner.com)