Al menos 11 grupos de piratas informáticos patrocinados por el estado de Corea del Norte, Irán, Rusia, y China han estado explotando activamente un sistema operativo Windows recién descubierto. vulnerabilidad de día cero en ataques de ciberespionaje y robo de datos desde 2017. A pesar de la clara evidencia de explotación, Microsoft se ha negado a publicar una actualización de seguridad para solucionar el problema..
Microsoft se niega a aplicar el parche ZDI-CAN-25373
Los investigadores de seguridad Pedro Girnus y Aliakbar Zahravi de la Iniciativa Zero Day de Trend Micro (brevemente conocido como ZDI) reveló que casi 1,000 Enlace de Shell (.lnk) muestras explotando esta vulnerabilidad, rastreado como ZDI-CAN-25373, han sido identificados. Se estima que el número real de intentos de explotación es mucho mayor..
Los investigadores presentaron una prueba de concepto (PoC) explotar a través del programa de recompensas por errores de Trend Micro ZDI. Sin embargo, Microsoft clasificó la vulnerabilidad como “No cumplir con el estándar de servicio” y se negó a parcharlo.
Espionaje global y robo de datos a gran escala
Los actores de amenazas se han aprovechado ZDI-CAN-25373 en ciberataques generalizados en todo el mundo Norteamérica, Sudamerica, Europa, Asia Oriental, y Australia. La mayoría de estos ataques, alrededor 70%, Se han vinculado al espionaje y al robo de datos., Mientras que los motivos financieros representaron aproximadamente 20%.
Entre los grupos de piratas informáticos que explotan esta vulnerabilidad se encuentran actores bien conocidos patrocinados por estados como El mal Corp, APT43 (Kimsuky), Amargo, APT37, Panda Mustang, SideWinder, Hotel rojo, y Konni. Estas Ciberdelincuentes APT Han implementado diversas cargas útiles de malware, Incluido Ursnif, Gh0st RAT, y Truco bot, haciendo uso de el malware-as-a-service plataformas para ampliar aún más su alcance.
¿Cómo funciona la vulnerabilidad??
La vulnerabilidad de día cero de Windows es causada por un Interfaz de usuario (IU) Tergiversación de información crítica debilidad. Explota la forma en que Windows maneja .lnk archivos de acceso directo, Permitir a los atacantes ejecutar código arbitrario en dispositivos específicos mientras evaden la detección.
Los atacantes manipulan .lnk archivos insertando argumentos de línea de comandos ocultos usando espacios en blanco rellenados, que puede tomar la forma de caracteres hexadecimales codificados, tal como:
\x20(Espacio)\x09(Pestaña horizontal)\x0A(Salto de línea)\x0B(Pestaña vertical)\x0C(Avance de formulario)\x0D(Retorno de carro)
Estos espacios ocultos impiden que los usuarios vean argumentos maliciosos en la interfaz de usuario de Windows., Permitiendo a los atacantes ejecutar comandos sigilosamente.
Microsoft aún no ha asignado un CVE-ID a esta vulnerabilidad, Mientras que Trend Micro continúa rastreándolo como ZDI-CAN-25373. El problema es bastante similar a otra vulnerabilidad., CVE-2024-43461, que fue utilizado por el grupo APT Void Banshee para lanzar ataques en América del Norte, Europa, y el sudeste asiático. Microsoft parcheó CVE-2024-43461 durante la actualización de septiembre. 2024 Martes de parches.
A pesar de las crecientes preocupaciones de los investigadores de seguridad, Microsoft no ha proporcionado ninguna indicación de que haya un parche para ZDI-CAN-25373 será liberado, dejando a los usuarios de Windows expuestos a amenazas cibernéticas constantes.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: