El Grupo Lazarus ha explotado una vulnerabilidad crítica del sistema operativo Windows. Este fallo les ha permitido obtener acceso para deshabilitar los software de seguridad en los dispositivos afectados, aumentando la efectividad de sus ataques de ransomware.
Antecedentes del ataque
La vulnerabilidad, de severidad Alta, puede permitir que un atacante obtenga privilegios del sistema a nivel del Kernel, vale decir, a la parte fundamental del sistema, permitiendo tomar entre otras acciones, que el sistema pase por alto todas las comprobaciones de seguridad al momento de ejecutar un malware, como el ransomware.
Según lo informado por Windows, esta vulnerabilidad afecta actualmente a estaciones de trabajo con Windows 10 y 11, además de servidores de distintas versiones de Windows Server 2019 y 2022.
Lo preocupante de este ataque, más allá de la sofisticación que se ha logrado detectar por los investigadores, es que la vulnerabilidad tiene ya un parche liberado el pasado 13 de febrero en el marco del Patch Tuesday de Microsoft.
Acciones para manejar el riesgo de ataque
La Gestión Continua de Vulnerabilidades, junto con el Monitoreo y Defensa de la Red y las Defensas contra el Malware, son algunos de los 18 Controles CIS que determinan un indicador clave sobre cómo podrían verse afectadas las empresas por ataques sofisticados de malware.
La implementación de estos Controles juega un papel crucial en la defensa contra este tipo de ataques:
-
Gestión Continua de Vulnerabilidades: Mantener un monitoreo constante de las vulnerabilidades conocidas y aplicar los parches de seguridad relevantes es esencial para mitigar el riesgo de explotación. La rápida aplicación de los parches de seguridad, como el que aborda CVE-2024-21338, puede evitar que los atacantes aprovechen las vulnerabilidades para comprometer los sistemas.
-
Monitoreo y Defensa de la Red: La supervisión y análisis regular de los registros de auditoría puede ayudar a detectar actividades sospechosas, como intentos de escalada de privilegios o desactivación de software de seguridad. Mantener registros detallados y realizar análisis periódicos puede proporcionar una visibilidad crucial sobre posibles intrusiones y actividades maliciosas.
-
Defensas contra el Malware: Implementar soluciones de defensa contra malware robustas, como firewalls, antivirus y anti-malware, es fundamental para protegerse contra amenazas conocidas y desconocidas. Las defensas contra malware pueden detectar y bloquear intentos de ejecutar código malicioso, como el rootkit de FudModule utilizado por el Grupo Lazarus en este último ataque.
El nivel de implementación de estos y los demás controles sirven como una hoja de ruta que determina el estado de madurez de la empresa.
En Widefense llevamos más de 35 años protegiendo a empresas, y apoyándonos en las mejores prácticas internacionales, creamos un servicio centrado en gestionar estos Controles Críticos de Seguridad, llamado WSC.
Conoce cómo a través del WSC clarificamos la estrategia de ciberdefensa en las empresas, además de definir la ruta crítica para implementarla y generamos visibilidad cuantitativa para iniciar un proceso de mejora continua.
¡Conoce nuestras soluciones aquí y cuida la ciberseguridad de tu organización!
Fuentes
https://thehackernews.com/2024/02/lazarus-hackers-exploited-windows.html
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21338