\n<\/aside>\n<\/p>\n
Microsoft dijo el mi\u00e9rcoles que una empresa con sede en Austria llamada DSIRF us\u00f3 varios d\u00edas cero de Windows y Adobe Reader para piratear organizaciones ubicadas en Europa y Am\u00e9rica Central.<\/p>\n
M\u00faltiples medios de comunicaci\u00f3n han publicado art\u00edculos como este, que cita materiales de marketing y otras pruebas que vinculan a DSIRF con Subzero, un conjunto de herramientas maliciosas para la \u00abexfiltraci\u00f3n automatizada de datos confidenciales\/privados\u00bb y \u00aboperaciones de acceso personalizadas\u00bb. [including] identificaci\u00f3n, seguimiento e infiltraci\u00f3n de amenazas\u201d.<\/p>\n
Los miembros del Centro de Inteligencia de Amenazas de Microsoft, o MSTIC, dijeron que han encontrado infecciones de malware de Subzero que se propagan a trav\u00e9s de una variedad de m\u00e9todos, incluida la explotaci\u00f3n de lo que en ese momento eran los d\u00edas cero de Windows y Adobe Reader, lo que significa que los atacantes conoc\u00edan las vulnerabilidades antes. Microsoft y Adobe lo hicieron. Los objetivos de los ataques observados hasta la fecha incluyen firmas de abogados, bancos y consultor\u00edas estrat\u00e9gicas en pa\u00edses como Austria, el Reino Unido y Panam\u00e1, aunque esos no son necesariamente los pa\u00edses en los que resid\u00edan los clientes de DSIRF que pagaron por el ataque.<\/p>\n
\u201cMSTIC ha encontrado m\u00faltiples v\u00ednculos entre DSIRF y las vulnerabilidades y el malware utilizado en estos ataques\u201d, escribieron los investigadores de Microsoft. \u201cEstos incluyen la infraestructura de comando y control utilizada por el malware que se vincula directamente a DSIRF, una cuenta de GitHub asociada a DSIRF que se usa en un ataque, un certificado de firma de c\u00f3digo emitido a DSIRF que se usa para firmar un exploit y otros informes de noticias de c\u00f3digo abierto. atribuyendo Subzero a DSIRF\u201d.<\/p>\n\nmicrosoft<\/p>\n<\/figcaption><\/figure>\n
No se devolvi\u00f3 un correo electr\u00f3nico enviado a DSIRF en busca de comentarios.<\/p>\n\n Anuncio publicitario <\/span> <\/p>\n<\/aside>\nLa publicaci\u00f3n del mi\u00e9rcoles es la \u00faltima en apuntar al flagelo del spyware mercenario vendido por empresas privadas. NSO Group, con sede en Israel, es el ejemplo m\u00e1s conocido de una empresa con fines de lucro que vende costosos exploits que a menudo comprometen los dispositivos que pertenecen a periodistas, abogados y activistas. Otro mercenario con sede en Israel llamado Candiru fue perfilado por Microsoft y el Citizen Lab de la Universidad de Toronto el a\u00f1o pasado y recientemente fue descubierto orquestando campa\u00f1as de phishing en nombre de clientes que pod\u00edan eludir la autenticaci\u00f3n de dos factores.<\/p>\n
Tambi\u00e9n el mi\u00e9rcoles, el Comit\u00e9 Selecto Permanente de Inteligencia de la C\u00e1mara de Representantes de EE. UU. celebr\u00f3 una audiencia sobre la proliferaci\u00f3n de spyware comercial extranjero. Uno de los oradores era la hija de un exgerente de hotel en Ruanda que fue encarcelado despu\u00e9s de salvar cientos de vidas y hablar sobre el genocidio que hab\u00eda tenido lugar. Ella cont\u00f3 la experiencia de que su tel\u00e9fono fuera pirateado con el software esp\u00eda NSO el mismo d\u00eda que se reuni\u00f3 con el ministro de Relaciones Exteriores de B\u00e9lgica.<\/p>\n
Refiri\u00e9ndose a DSIRF usando el trabajo KNOTWEED, los investigadores de Microsoft escribieron:<\/p>\n
\nEn mayo de 2022, MSTIC encontr\u00f3 una ejecuci\u00f3n remota de c\u00f3digo (RCE) de Adobe Reader y una cadena de exploits de escalada de privilegios de Windows de 0 d\u00edas que se usaban en un ataque que condujo a la implementaci\u00f3n de Subzero. Los exploits se empaquetaron en un documento PDF que se envi\u00f3 a la v\u00edctima por correo electr\u00f3nico. Microsoft no pudo adquirir la porci\u00f3n de PDF o Adobe Reader RCE de la cadena de explotaci\u00f3n, pero la versi\u00f3n de Adobe Reader de la v\u00edctima se lanz\u00f3 en enero de 2022, lo que significa que la explotaci\u00f3n utilizada fue una explotaci\u00f3n de 1 d\u00eda desarrollada entre enero y mayo, o una Explotaci\u00f3n de 0 d\u00edas. Seg\u00fan el uso extensivo de KNOTWEED de otros d\u00edas 0, evaluamos con confianza media que Adobe Reader RCE es un exploit de d\u00eda 0. El exploit de Windows fue analizado por MSRC, se encontr\u00f3 que era un exploit de 0 d\u00edas y luego se parch\u00f3 en julio de 2022 como CVE-2022-22047. Curiosamente, hab\u00eda indicaciones en el c\u00f3digo de explotaci\u00f3n de Windows de que tambi\u00e9n fue dise\u00f1ado para ser utilizado desde navegadores basados \u200b\u200ben Chromium, aunque no hemos visto evidencia de ataques basados \u200b\u200ben navegador.<\/p>\n
La vulnerabilidad CVE-2022-22047 est\u00e1 relacionada con un problema con el almacenamiento en cach\u00e9 del contexto de activaci\u00f3n en el subsistema de tiempo de ejecuci\u00f3n del servidor del cliente (CSRSS) en Windows. En un nivel alto, la vulnerabilidad podr\u00eda permitir que un atacante proporcione un manifiesto de ensamblaje dise\u00f1ado, lo que crear\u00eda un contexto de activaci\u00f3n malicioso en la memoria cach\u00e9 del contexto de activaci\u00f3n, para un proceso arbitrario. Este contexto almacenado en cach\u00e9 se usa la pr\u00f3xima vez que se genera el proceso.<\/p>\n
CVE-2022-22047 se utiliz\u00f3 en ataques relacionados con KNOTWEED para escalar privilegios. La vulnerabilidad tambi\u00e9n brindaba la capacidad de escapar de los entornos limitados (con algunas advertencias, como se explica a continuaci\u00f3n) y lograr la ejecuci\u00f3n del c\u00f3digo a nivel del sistema. La cadena de explotaci\u00f3n comienza con la escritura de una DLL maliciosa en el disco desde el proceso de procesamiento de Adobe Reader en la zona de pruebas. Luego, se us\u00f3 el exploit CVE-2022-22047 para apuntar a un proceso del sistema al proporcionar un manifiesto de aplicaci\u00f3n con un atributo no documentado que especificaba la ruta de la DLL maliciosa. Luego, cuando el proceso del sistema se gener\u00f3 a continuaci\u00f3n, se us\u00f3 el atributo en el contexto de activaci\u00f3n maliciosa, se carg\u00f3 la DLL maliciosa desde la ruta dada y se logr\u00f3 la ejecuci\u00f3n del c\u00f3digo a nivel del sistema.<\/p>\n<\/blockquote>\n
La publicaci\u00f3n del mi\u00e9rcoles tambi\u00e9n proporciona indicadores detallados de compromiso que los lectores pueden usar para determinar si han sido atacados por DSIRF.<\/p>\n\n Anuncio publicitario <\/span> <\/p>\n<\/aside>\nMicrosoft us\u00f3 el t\u00e9rmino PSOA, abreviatura de actor ofensivo del sector privado, para describir a los mercenarios cibern\u00e9ticos como DSIRF. La compa\u00f1\u00eda dijo que la mayor\u00eda de las PSOA operan bajo uno o ambos modelos. El primero, acceso como servicio, vende herramientas completas de pirater\u00eda inform\u00e1tica a los clientes para que las utilicen en sus propias operaciones. En el otro modelo, hack-for-hire, el PSOA lleva a cabo las operaciones espec\u00edficas por s\u00ed mismo.<\/p>\n
\u00abSeg\u00fan los ataques observados y los informes de noticias, MSTIC cree que KNOTWEED puede combinar estos modelos: venden el malware Subzero a terceros, pero tambi\u00e9n se ha observado que utilizan la infraestructura asociada a KNOTWEED en algunos ataques, lo que sugiere una participaci\u00f3n m\u00e1s directa\u00bb, escribieron los investigadores de Microsoft.<\/p>\n<\/p><\/div>\n
\nSource link-49<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"Microsoft dijo el mi\u00e9rcoles que una empresa con sede en Austria llamada DSIRF us\u00f3 varios d\u00edas cero de Windows y Adobe Reader para piratear organizaciones ubicadas en Europa y Am\u00e9rica…<\/p>\n","protected":false},"author":1,"featured_media":56709,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[20352,1312,99,1386,25858,8,683,107,110,73,6512,5786,16319,5104],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/56708"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=56708"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/56708\/revisions"}],"predecessor-version":[{"id":56710,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/56708\/revisions\/56710"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/56709"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=56708"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=56708"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=56708"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}