La reciente advertencia de la Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. (CISA) ha encendido las alarmas en la comunidad tecnológica y empresarial. La causa de esta preocupación es un error crítico descubierto en el sistema de streaming de Microsoft, el cual ha sido explotado en una serie de ataques de malware sofisticados. Este incidente destaca la importancia de una vigilancia constante y de la implementación de medidas de seguridad robustas en nuestras infraestructuras digitales.
La vulnerabilidad identificada se encuentra en el sistema de streaming de Microsoft, una tecnología utilizada ampliamente para la transmisión de datos en tiempo real a través de internet. Esta brecha de seguridad permite a los atacantes ejecutar código malicioso en los sistemas de las víctimas sin su conocimiento. La explotación de esta vulnerabilidad puede resultar en una variedad de ataques cibernéticos, incluyendo el robo de datos, la instalación de ransomware y la toma de control total del sistema afectado.
Conoce más sobre: Vulnerabilidades Cibernéticas: Un Análisis a Profundidad
La CISA ha instruido a las agencias federales civiles de EE. UU. (FCEB) a asegurar sus sistemas Windows frente a una vulnerabilidad crítica en el Servicio de Streaming de Microsoft (MSKSSRV.SYS), actualmente explotada en ataques activos.
Esta vulnerabilidad, identificada como CVE-2023-29360, se origina en una debilidad por desreferenciación de puntero no seguro que permite a atacantes locales escalar privilegios a nivel de SISTEMA en ataques de baja complejidad sin necesidad de interacción del usuario.
Descubierto por Thomas Imbert de Synactiv en el proxy del Servicio de Streaming de Microsoft (MSKSSRV.SYS) y reportado a Microsoft a través de la Iniciativa Zero Day de Trend Micro, Microsoft solucionó este fallo en su actualización de seguridad de junio de 2023. Un código de explotación de concepto fue publicado en GitHub el 24 de septiembre, tres meses después de la corrección.
Aunque la agencia de ciberseguridad de EE. UU. no detalló los ataques específicos, confirmó que no hay evidencia de uso de esta vulnerabilidad en ataques de ransomware.
CISA también ha añadido esta vulnerabilidad a su catálogo de vulnerabilidades explotadas conocidas, destacando que tales fallos son objetivos comunes para actores cibernéticos malintencionados y constituyen un riesgo significativo para el gobierno federal. Conforme a la directiva BOD 22-01 de noviembre de 2021, las agencias tienen un plazo de tres semanas, hasta el 21 de marzo, para aplicar los parches necesarios.
Si bien el catálogo KEV de CISA se dirige principalmente a las agencias federales, instando a una pronta remediación de vulnerabilidades críticas, también se aconseja a las entidades privadas globales priorizar la corrección de este fallo para prevenir ataques.
Podría interesarte: ¿Tu software está al día?: Importancia de los Parches
Desde agosto, se han registrado ataques de malware que explotan activamente la vulnerabilidad CVE-2023-29360, según informó la firma de ciberseguridad estadounidense-israelí Check Point el mes pasado. Los ataques involucran al malware Raspberry Robin, que ha estado utilizando esta vulnerabilidad desde agosto de 2023.
Check Point explicó: "Al analizar muestras de Raspberry Robin anteriores a octubre, identificamos que ya estaba explotando CVE-2023-29360. Esta vulnerabilidad se hizo pública en junio, y Raspberry Robin comenzó a explotarla en agosto. Aunque la vulnerabilidad puede ser explotada relativamente fácil, es notable que los responsables del malware tuvieran un exploit funcional antes de que se conociera públicamente en GitHub, y también destaca la rapidez con que Raspberry Robin incorporó el exploit".
Raspberry Robin es un malware tipo gusano que se descubrió en septiembre de 2021 y se difunde principalmente a través de unidades USB. Aunque los autores del malware permanecen desconocidos, se ha asociado con varios grupos de cibercriminales, incluidos EvilCorp y el grupo de ransomware Clop.
En julio de 2022, Microsoft informó que había detectado el malware Raspberry Robin en las redes de cientos de organizaciones de diferentes sectores industriales.
Desde su aparición, Raspberry Robin ha estado evolucionando, mejorando sus métodos de distribución y añadiendo nuevas funcionalidades. Esto incluye tácticas de evasión como desplegar cargas útiles falsas para confundir a los investigadores de seguridad.
Historial de ataques con CVE-2023-29360
Conoce más sobre: Análisis de Malware con Wazuh
La advertencia de CISA sobre la vulnerabilidad en el sistema de streaming de Microsoft es un recordatorio oportuno de que las amenazas cibernéticas están en constante evolución y pueden surgir de donde menos lo esperamos. Adoptar un enfoque proactivo hacia la ciberseguridad, manteniéndose informado sobre las últimas amenazas y siguiendo las mejores prácticas recomendadas, es esencial para protegerse en el ciberespacio. Recuerda, la seguridad en línea comienza con la concienciación y la acción de cada individuo.
En resumen, mientras el mundo digital sigue avanzando, la seguridad cibernética debe mantenerse al mismo paso, protegiendo a usuarios y organizaciones de las vulnerabilidades emergentes. La alerta de CISA nos sirve como un recordatorio de que en el ámbito de la tecnología, la precaución y la educación son nuestras mejores defensas.