Al menos 11 grupos de hacking respaldados por gobiernos de Corea del Norte, Irán, Rusia y China han estado explotando una vulnerabilidad de Windows desde 2017.
Esta vulnerabilidad ha sido aprovechada en ataques de robo de datos y ciberespionaje, afectando a numerosos sistemas a nivel global.
Detalles de la Vulnerabilidad ZDI-CAN-25373 ️♂️
Investigadores de Trend Micro han identificado la vulnerabilidad como ZDI-CAN-25373, la cual se encuentra en los archivos de acceso directo .lnk en Windows.
Esta falla permite a los atacantes ejecutar código arbitrario en los sistemas vulnerables, sin que el usuario lo sepa.
El ataque se basa en una mala representación de la interfaz de usuario (UI) que oculta información crítica, lo que permite a los ciberdelincuentes ocultar comandos maliciosos dentro de los archivos .lnk.
¿Cómo se explota?
Los atacantes se aprovechan de los espacios en blanco añadidos dentro de la estructura de COMMAND_LINE_ARGUMENTS en los archivos .lnk.
Estos espacios pueden estar representados por códigos hexadecimales como espacio (x20), tabulación horizontal (x09) o salto de línea (x0A), entre otros, lo que oculta los comandos maliciosos de la vista del usuario.
Cuando un usuario inspecciona un archivo .lnk, los argumentos maliciosos no se muestran en la interfaz de Windows, permitiendo que el código malicioso se ejecute sin el conocimiento del usuario.
Impacto y Explotación Global
Desde su descubrimiento, la vulnerabilidad ha sido aprovechada por varios grupos patrocinados por el estado, incluyendo organizaciones como Evil Corp, APT43 (Kimsuky), Bitter, APT37, Mustang Panda, SideWinder, RedHotel, y Konni.
Estos grupos han atacado principalmente a organizaciones en América del Norte, América del Sur, Europa, Asia Oriental y Australia.
En un análisis de Trend Micro, aproximadamente el 70% de los ataques estaban relacionados con el robo de información y el ciberespionaje, mientras que solo el 20% tenía como objetivo el beneficio financiero.
Malware Usado en los Ataques
En estos ataques, se han utilizado diversos tipos de malware como Ursnif, Gh0st RAT, y Trickbot, a menudo apoyados por plataformas de malware-as-a-service (MaaS). Estos ataques complican aún más el panorama de ciberseguridad al facilitar la distribución y explotación de malware por parte de actores maliciosos.
Microsoft No Aborda la Vulnerabilidad
A pesar de que Trend Micro presentó una prueba de concepto a Microsoft a través de su programa de recompensas por bugs, Microsoft decidió no emitir un parche de seguridad para esta vulnerabilidad, argumentando que no “cumple con el umbral de servicio”.
Esto ha generado inquietud, ya que la vulnerabilidad sigue sin corregirse, lo que deja a millones de usuarios de Windows expuestos a ataques.
Recomendaciones de Seguridad ️
Los expertos recomiendan a los usuarios de Windows ser extremadamente cautelosos al interactuar con archivos .lnk sospechosos. Es importante evitar abrir archivos desconocidos o proceder a inspeccionar accesos directos que provengan de fuentes no confiables.
Además, las organizaciones de ciberseguridad sugieren implementar medidas de seguridad adicionales, como firewalls avanzados y monitoreo de tráfico de red para detectar actividades sospechosas.
Una Amenaza Persistente
Dado que Microsoft no ha lanzado un parche para la vulnerabilidad, es crucial que las organizaciones mantengan sus sistemas actualizados con otras actualizaciones de seguridad y estén alerta ante la posibilidad de nuevos intentos de explotación de esta brecha.
Este descubrimiento resalta la importancia de abordar las vulnerabilidades de Windows de manera oportuna, especialmente aquellas que son explotadas activamente por grupos cibernéticos patrocinados por estados.