AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Ciberdelincuentes Utilizan el Controlador ThrottleStop.sys para Eludir y Desactivar Soluciones EDR**

admin

### 1. Introducción

La sofisticación de las amenazas dirigidas contra soluciones de seguridad perimetral y endpoint continúa en aumento. Recientemente, se ha detectado una campaña en la que actores maliciosos emplean el controlador legítimo ThrottleStop.sys para manipular y desactivar sistemas de protección como antivirus y plataformas de Endpoint Detection and Response (EDR). Este tipo de ataques, conocidos como «Bring Your Own Vulnerable Driver» (BYOVD), suponen una seria amenaza para organizaciones que dependen de la integridad de sus soluciones de seguridad para la protección de infraestructuras críticas.

### 2. Contexto del Incidente o Vulnerabilidad

ThrottleStop es una herramienta popular utilizada para el ajuste de parámetros de energía y rendimiento en procesadores Intel. Sin embargo, su controlador de modo kernel, ThrottleStop.sys, ha sido identificado como vulnerable, permitiendo a los atacantes obtener privilegios elevados y alterar el funcionamiento del sistema operativo.

Los ataques BYOVD no son una novedad, pero la elección de ThrottleStop.sys es significativa por su prevalencia y su firma legítima, lo que dificulta su detección por parte de soluciones tradicionales. La ofensiva detectada ha mostrado cómo los atacantes cargan este driver vulnerable en sistemas Windows para deshabilitar procesos de seguridad, eludir mecanismos de protección y facilitar la persistencia y escalada de privilegios.

### 3. Detalles Técnicos

**CVE y Explotación:**
Hasta la fecha, la vulnerabilidad explotada en ThrottleStop.sys no ha sido asignada formalmente a un CVE específico, aunque su peligrosidad ha sido reconocida en múltiples informes de seguridad. El vector de ataque principal consiste en la carga manual del controlador vulnerable, lo que permite la ejecución de código en modo kernel.

**Vectores de Ataque y TTPs (MITRE ATT&CK):**
– **T1543.003 (Create or Modify System Process: Windows Service):** Los atacantes instalan ThrottleStop.sys como un servicio de Windows para obtener acceso de bajo nivel.
– **T1216 (System Binary Proxy Execution):** Se aprovechan de binarios legítimos para cargar el controlador.
– **T1068 (Exploitation for Privilege Escalation):** El controlador permite la elevación de privilegios necesarios para desactivar EDR.
– **T1562 (Impair Defenses):** El objetivo final es deshabilitar mecanismos defensivos.

**Indicadores de Compromiso (IoC):**
– Presencia de archivos ThrottleStop.sys en directorios atípicos.
– Claves de registro asociadas a servicios de Windows no estándar.
– Modificaciones en servicios de seguridad (por ejemplo, detención de procesos de AV/EDR).

**Herramientas y Frameworks Usados:**
Se ha observado el uso de frameworks automatizados como Metasploit para cargar el driver, así como Cobalt Strike para la gestión de post-explotación y movimiento lateral. Los exploits publicados permiten a los atacantes manipular la memoria kernel y deshabilitar servicios críticos de seguridad.

### 4. Impacto y Riesgos

El impacto inmediato es la desactivación de las defensas a nivel endpoint, permitiendo la ejecución sin restricciones de payloads maliciosos, ransomware, exfiltración de datos o persistencia avanzada. Según estimaciones recientes, más del 12% de los incidentes de bypass de EDR en 2024 han involucrado ataques BYOVD.

A nivel económico, la desactivación de sistemas de defensa puede derivar en brechas de seguridad con pérdidas superiores a los 3,5 millones de euros por incidente, además de posibles sanciones bajo el Reglamento General de Protección de Datos (GDPR) y la directiva NIS2 por falta de diligencia en la protección de infraestructuras críticas.

### 5. Medidas de Mitigación y Recomendaciones

– **Bloqueo de Drivers Vulnerables:** Actualizar las políticas de Microsoft Defender Application Control (MDAC) y utilizar mecanismos como el «Driver Blocklist» de Windows para impedir la carga de ThrottleStop.sys y otros controladores vulnerables.
– **Monitorización de Servicios y Drivers:** Implementar reglas de detección en SIEM y EDR para identificar la instalación de drivers fuera del repositorio autorizado.
– **Gestión de Privilegios:** Restringir privilegios administrativos y monitorizar la creación de nuevos servicios de sistema.
– **Actualización de Firmas y Reglas YARA:** Asegurar que las herramientas de seguridad emplean firmas actualizadas para detectar técnicas BYOVD.
– **Auditoría de Integridad:** Realizar auditorías periódicas de la integridad de los endpoints y de los controladores instalados.

### 6. Opinión de Expertos

Según David Álvarez, analista senior de amenazas en S21sec, «los ataques BYOVD representan un desafío creciente debido a la dificultad de distinguir entre controladores legítimos y manipulados. La industria debe avanzar hacia una validación más estricta de drivers y una mayor visibilidad a nivel kernel».

Por su parte, Marta García, CISO de una multinacional del sector financiero, advierte: «La gestión de vulnerabilidades en drivers es crítica. No basta con el parcheo de aplicaciones, sino que debemos considerar el stack completo, incluidos los controladores de terceros».

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, este tipo de ataques supone la necesidad de revisar los procesos de gestión de controladores, reforzar la monitorización de endpoints y actualizar los procedimientos de respuesta ante incidentes. Las organizaciones sujetas a la NIS2 deberán demostrar diligencia en el control de software de bajo nivel para evitar sanciones y daños reputacionales.

Para los usuarios avanzados y administradores de sistemas, se recomienda evitar la instalación de herramientas de overclocking no esenciales y verificar la procedencia de los controladores.

### 8. Conclusiones

El uso malicioso del controlador ThrottleStop.sys evidencia la evolución de las técnicas de evasión empleadas por los atacantes y resalta la importancia de una defensa en profundidad que incluya el control riguroso de componentes a nivel kernel. La colaboración entre fabricantes, desarrolladores de seguridad y equipos de respuesta es esencial para anticipar y mitigar este tipo de amenazas en entornos críticos.

(Fuente: www.darkreading.com)