La banda de ciberdelincuentes pudo utilizar controladores firmados maliciosos para desactivar las herramientas de seguridad de los end points. Microsoft ha revocado los certificados.
Microsoft suspendió varias cuentas en su Programa de Desarrolladores de Hardware que firmaron drivers o controladores maliciosos utilizados por un grupo de ransomware llamado Cuba para desactivar las herramientas de seguridad del end point. Los certificados de los controladores han sido revocados y se añadirán a una lista de bloqueo que los usuarios de Windows pueden desplegar opcionalmente.
“En la mayoría de los incidentes de ransomware, los atacantes matan el software de seguridad del objetivo en un paso precursor esencial antes de desplegar el ransomware en sí”, dijeron los investigadores de la firma de seguridad Sophos en un nuevo informe sobre el incidente. “En ataques recientes, algunos actores de amenazas han recurrido al uso de drivers de Windows para desactivar productos de seguridad”.
El poder de los controladores del kernel y el intento de Microsoft de protegerlos
El kernel es la parte más sensible de un sistema operativo, donde el código se ejecuta con los mayores privilegios y tiene un control total sobre la computadora y su hardware. Para comunicarse y controlar todos los componentes de hardware, el kernel utiliza piezas de código especializadas denominadas controladores de dispositivos o drivers, desarrollados por Microsoft o por empresas de hardware.
En los tiempos de Windows XP, los rootkits (malware de nivel raíz) eran una amenaza común y a menudo hacían uso de drivers maliciosos no firmados, pero con Windows Vista y Windows 7, Microsoft empezó a cerrar esta brecha al imponer la validación de firmas de controladores desde el principio.
Las versiones actuales de Windows (Windows 10 y superiores) no permiten a los usuarios instalar un controlador de modo kernel que no haya sido firmado digitalmente por Microsoft a través del Programa de Desarrolladores de Hardware de Windows. Para que el controlador sea apto para su distribución a través de Windows Update, también debe estar certificado por Microsoft.
Estas nuevas características de seguridad han hecho que el uso de drivers maliciosos sea poco frecuente, pero algunos grupos sofisticados encontraron una solución: explotar las vulnerabilidades de los controladores legítimos y de confianza. Esto creó un nuevo problema, ya que aunque un proveedor de controladores publicara una nueva versión para parchear una vulnerabilidad, nada impedía que un programa malicioso desplegara una versión anterior del driver en los sistemas de los usuarios.
Microsoft respondió creando una lista de bloqueo de controladores vulnerables, pero esta solo se activa por defecto con la actualización de Windows 11 2022 lanzada en septiembre de 2022. Para Windows 10 20H2 y Windows 11 21H2, sólo está disponible como actualización opcional. Además, esta lista sólo se actualiza una o dos veces al año cuando se lanzan las principales versiones de Windows. Otra forma de aplicar esta lista de bloqueo es a través del Control de Aplicaciones de Windows Defender (WDAC).
“La mayoría de los ataques a controladores del kernel han tomado típicamente la forma BYOVD (Bring Your Own Vulnerable Driver)”, dijeron los investigadores de Sophos. “Ejemplos recientes incluyen BlackByte ransomware, que utilizó un controlador de overclocking de tarjeta gráfica vulnerable, y otro actor ransomware abusando de un controlador anti-cheat vulnerable creado por el editor de software del videojuego Genshin Impact”.
El ransomware Cuba lleva los ataques a drivers al siguiente nivel
Los últimos ataques del grupo de ransomware Cuba, observados inicialmente a finales de septiembre y octubre, presentaron una escalada en el abuso de controladores del kernel de Windows, ya que utilizaron drivers de kernel maliciosos que obtuvieron a través de un canal legítimo: cuentas del Programa de Desarrolladores de Hardware de Windows.
“Fuimos notificados de esta actividad por SentinelOne, Mandiant y Sophos el 19 de octubre de 2022, y posteriormente realizamos una investigación sobre esta actividad”, dijo Microsoft en su aviso. “Esta investigación reveló que varias cuentas de desarrolladores para el Centro de Socios de Microsoft se dedicaron a enviar drivers maliciosos para obtener una firma de Microsoft. Un nuevo intento de enviar un controlador malicioso para su firma el 29 de septiembre de 2022 llevó a la suspensión de las cuentas de los vendedores a principios de octubre“.
Microsoft también ha publicado actualizaciones de seguridad que revocarán los certificados que se utilizaron para firmar los controladores maliciosos.
Cuba utilizó el driver como parte de las actividades posteriores a la explotación junto con una aplicación de carga maliciosa cuyo propósito era probablemente terminar los procesos de los productos de seguridad antes de desplegar el ransomware. Esta utilidad maliciosa ya se había observado anteriormente, y Mandiant la bautizó como BURNTCIGAR en febrero. En aquel momento se desplegó utilizando un controlador vulnerable asociado al programa antivirus Avast.
Tras encontrar la última versión de la herramienta firmada directamente por Microsoft a través del programa de certificación de desarrolladores de hardware y controladores, los investigadores de Sophos buscaron versiones anteriores en bases de datos de malware, incluida VirusTotal. Encontraron variantes de la herramienta y del driver que la acompañaba firmados con un certificado de Nvidia filtrado por el grupo de hackers Lapsus$, así como certificados pertenecientes a dos empresas chinas, una de ellas editora de herramientas de software que los proveedores de antivirus suelen marcar como aplicaciones potencialmente no deseadas (PUA).
Esto muestra una evolución en las tácticas de este grupo durante el último año: de abusar de drivers legítimos pero vulnerables a abusar de certificados de firma de código válidos de editores de dudosa procedencia para finalmente infiltrarse en el Programa de Desarrolladores de Hardware de Microsoft y conseguir que su driver sea firmado directamente por Microsoft.
–Lucian Constantin, cio.com
