Investigadores
del
equipo
de
Microsoft
Threat
Intelligence
han
descubierto
una
nueva
amenaza
en
Windows
provocada
por
supuestos
hackers
rusos
contratados
por
el
Estado.
Para
ello
han
hecho
uso
de
una
herramienta
personalizada
para
robar
credenciales
e
incluso
instalar
puertas
traseras
en
los
sistemas.
Los
hackers
se
identifican
como
APT28
o
Fancy
Bear,
aunque
Microsoft
los
ha
identificado
por
el
pseudónimo
de
Forest
Blizzard.
Se
conoce
que
estarían
vinculados
con
la
unidad
militar
26165,
la
cual
es
parte
de
la
agencia
de
inteligencia
militar
de
Rusia.
Hackers
rusos
aprovechan
vulnerabilidades
en
Windows
Según
afirma
Microsoft,
el
grupo
hacker
habría
utilizado
la
herramienta
explot
‘GooseEgg’
contra
el
Gobierno,
sistemas
de
transporte
e
instituciones
académicas
en
Estados
Unidos,
oeste
de
Europa
y
Ucrania.
«Forest
Blizzard
se
centra
principalmente
en
objetivos
estratégicos
de
inteligencia»,
comunicaba
Microsoft.
Según
parece,
los
analistas
de
inteligencia
de
Microsoft
creen
que
APT28
lleva
utilizando
GooseEgg
desde
al
menos
junio
de
2020
y
muy
posiblemente
desde
abril
de
2019.
Si
bien
GooseEgg
actúa
como
un
simple
launcher,
lo
cierto
es
que
se
trata
de
una
herramienta
muy
peligrosa
si
está
en
manos
equivocadas,
ya
que
multitud
de
hackers
la
han
utilizado
para
explotar
la
vulnerabilidad
en
el
servicio
de
cola
de
impresión
de
Windows.
Esta
vulnerabilidad,
identificada
como
CVE-2022-38028,
fue
solucionada
en
uno
de
los
parches
de
octubre
de
2022,
y
fue
la
Agencia
de
Seguridad
Nacional
en
Estados
Unidos
la
que
se
encargó
de
informar
de
esta.
GooseEgg
por
su
lado,
explota
una
vulnerabilidad
no
corregida
“modificando
un
archivo
de
restricciones
de
JavaScript
y
ejecutándolo
con
permisos
de
nivel
de
sistema,”
asegura
Microsoft.
En
el
informe
del
equipo
de
Microsoft
Threat
Intelligence,
se
indica
hasta
qué
punto
GooseEgg
puede
ayudar
a
los
hackers
rusos.
Según
la
compañía, «GooseEgg
es
capaz
de
generar
otras
aplicaciones
especificadas
en
la
línea
de
comandos
con
permisos
elevados,
lo
que
permite
a
los
ciberdelincuentes
acceder
a
cualquiera
de
sus
próximos
objetivos,
como
la
ejecución
remota
de
código,
la
instalación
de
una
puerta
trasera
o
el
desplazamiento
lateral
a
través
de
redes
comprometidas.»
Esta
vulnerabilidad
es
un
ejemplo
más
de
la
importancia
de
actualizar
los
sistemas
siempre
que
se
pueda,
ya
que
por
más
que
algunas
actualizaciones
consigan
corromper
algunos
de
nuestros
archivos
y
aplicaciones
personales,
logran
corregir
problemas
de
seguridad
muy
importantes
que
cualquier
ciberdelincuente
podría
aprovechar
para
hacerse
con
el
control
de
nuestro
sistema.
El
exploit
es
identificado
en
Windows
Defender
como
‘HackTool:Win64/GooseEgg’.
Además,
la
vulnerabilidad
descrita
no
sería
la
única,
ya
que
los
ataques
estarían
aprovechando
otra
de
estas
identificada
como
CVE-2017-8570
que
hace
referencia
a
un
exploit
de
Microsoft
Office
y
que
se
accedería
a
través
de
un
documento
de
PowerPoint
modificado.
Satya
Nadella,
CEO
de
Microsoft,
advierte
que
están
trabajando
en
ello
y
que
está
siendo
“la
prioridad
número
uno”
de
la
compañía.
“Estamos
redoblando
esfuerzos,
anteponiendo
la
seguridad
a
todo
lo
demás,
incluso
a
todas
las
demás
características
e
inversiones,»
afirmaba
Nadella
en
la
última
reunión
con
los
inversores.
Imagen
de
portada
|
freestocks
Vía
|
Forbes
