\n<\/aside>\n<\/p>\n
Los piratas inform\u00e1ticos respaldados por el Kremlin han estado explotando una vulnerabilidad cr\u00edtica de Microsoft durante cuatro a\u00f1os en ataques dirigidos a una amplia gama de organizaciones con una herramienta previamente no documentada, revel\u00f3 el fabricante de software el lunes.<\/p>\n
Cuando Microsoft parch\u00f3 la vulnerabilidad en octubre de 2022, al menos dos a\u00f1os despu\u00e9s de que fuera atacada por piratas inform\u00e1ticos rusos, la empresa no mencion\u00f3 que estaba bajo explotaci\u00f3n activa. En el momento de su publicaci\u00f3n, el aviso de la compa\u00f1\u00eda a\u00fan no mencionaba los objetivos en estado salvaje. Los usuarios de Windows frecuentemente priorizan la instalaci\u00f3n de parches en funci\u00f3n de si es probable que una vulnerabilidad sea explotada en ataques del mundo real.<\/p>\n
La explotaci\u00f3n de CVE-2022-38028, a medida que se rastrea la vulnerabilidad, permite a los atacantes obtener privilegios del sistema, los m\u00e1s altos disponibles en Windows, cuando se combina con un exploit independiente. Explotar la falla, que tiene una calificaci\u00f3n de gravedad de 7,8 sobre 10 posibles, requiere pocos privilegios existentes y poca complejidad. Reside en la cola de impresi\u00f3n de Windows, un componente de administraci\u00f3n de impresoras que ha albergado anteriores d\u00edas cero cr\u00edticos. Microsoft dijo en ese momento que se enter\u00f3 de la vulnerabilidad a trav\u00e9s de la Agencia de Seguridad Nacional de Estados Unidos.<\/p>\n
El lunes, Microsoft revel\u00f3 que un grupo de piratas inform\u00e1ticos rastreado con el nombre de Forest Blizzard ha estado explotando CVE-2022-38028 desde al menos junio de 2020, y posiblemente desde abril de 2019. El grupo de amenazas, que tambi\u00e9n est\u00e1 rastreado con nombres que incluyen APT28, Sednit, Sofacy, Unidad 26165 del GRU y Fancy Bear han sido vinculados por los gobiernos de Estados Unidos y el Reino Unido con la Unidad 26165 de la Direcci\u00f3n Principal de Inteligencia, un brazo de inteligencia militar ruso m\u00e1s conocido como GRU. Forest Blizzard se centra en la recopilaci\u00f3n de inteligencia mediante el pirateo de una amplia gama de organizaciones, principalmente en Estados Unidos, Europa y Oriente Medio.<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\nDesde abril de 2019, Forest Blizzard ha estado explotando CVE-2022-38028 en ataques que, una vez adquiridos los privilegios del sistema, utilizan una herramienta previamente no documentada que Microsoft llama GooseEgg. El malware posterior a la explotaci\u00f3n eleva los privilegios dentro de un sistema comprometido y proporciona una interfaz sencilla para instalar piezas adicionales de malware que tambi\u00e9n se ejecutan con privilegios del sistema. Este malware adicional, que incluye ladrones de credenciales y herramientas para moverse lateralmente a trav\u00e9s de una red comprometida, se puede personalizar para cada objetivo.<\/p>\n
\u201cSi bien es una aplicaci\u00f3n de inicio simple, GooseEgg es capaz de generar otras aplicaciones especificadas en la l\u00ednea de comando con permisos elevados, lo que permite a los actores de amenazas respaldar cualquier objetivo posterior, como la ejecuci\u00f3n remota de c\u00f3digo, la instalaci\u00f3n de una puerta trasera y el movimiento lateral a trav\u00e9s de redes comprometidas. \u201d, escribieron funcionarios de Microsoft.<\/p>\n
GooseEgg generalmente se instala mediante un script por lotes simple, que se ejecuta luego de la explotaci\u00f3n exitosa de CVE-2022-38028 u otra vulnerabilidad, como CVE-2023-23397, que seg\u00fan el aviso del lunes tambi\u00e9n ha sido explotada por Forest Blizzard. El script es responsable de instalar el binario GooseEgg, a menudo llamado Justice.exe o DefragmentSrv.exe, y luego garantiza que se ejecuten cada vez que se reinicia la m\u00e1quina infectada.<\/p>\n<\/p><\/div>\n
\nSource link-49<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"im\u00e1genes falsas Los piratas inform\u00e1ticos respaldados por el Kremlin han estado explotando una vulnerabilidad cr\u00edtica de Microsoft durante cuatro a\u00f1os en ataques dirigidos a una amplia gama de organizaciones con…<\/p>\n","protected":false},"author":1,"featured_media":982488,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[36292,22314,848,43485,107,110,19012,630,31323,5104],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/1102889"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=1102889"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/1102889\/revisions"}],"predecessor-version":[{"id":1102890,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/1102889\/revisions\/1102890"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/982488"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=1102889"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=1102889"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=1102889"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}