{"id":25353,"date":"2021-05-24T16:10:52","date_gmt":"2021-05-24T14:10:52","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=25353"},"modified":"2021-05-24T16:10:52","modified_gmt":"2021-05-24T14:10:52","slug":"rsa2021-windows-xp-vulnbins","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/rsa2021-windows-xp-vulnbins\/25353\/","title":{"rendered":"El uso de exploits obsoletos en sistemas modernos"},"content":{"rendered":"

Los ataques del tipo Living off the Land<\/a>, que utilizan programas leg\u00edtimos o caracter\u00edsticas del sistema operativo para causar da\u00f1os, no son nada nuevo, pero, dado que los expertos ya realizan un seguimiento del software<\/em> actual susceptible a LotL, los ciberdelincuentes se han visto obligados a innovar. Los investigadores Jean-Ian Boutin y Zuzana Hromcova hablaron<\/a> sobre una de esas innovaciones, el uso de componentes y programas leg\u00edtimos de Windows XP, en la conferencia RSA 2021<\/a>.<\/p>\n

Living off the Land y los componentes vulnerables de Windows XP<\/h2>\n

Al estudiar la actividad del grupo InvisiMole<\/a>, Boutin y Hromcova observaron que el hecho de que las herramientas de InvisiMole usen archivos del sistema operativo obsoleto les ayuda a permanecer fuera del radar. Los investigadores concedieron a esos archivos el nombre de VULNBins, similar a LOLBins, que la comunidad de seguridad aplica a los archivos utilizados en los ataques Living off the Land.<\/p>\n

Por supuesto, descargar un archivo desactualizado en el ordenador de la v\u00edctima requiere acceso al equipo. Pero los VULNBins se utilizan generalmente para establecer la permanencia en un sistema espec\u00edfico sin ser percibido, no para la penetraci\u00f3n real.<\/p>\n

\u00a0<\/strong><\/p>\n

Algunos ejemplos espec\u00edficos del uso de programas y componentes de sistemas obsoletos<\/h2>\n

Si un atacante no logra obtener los derechos de administrador, una t\u00e1ctica que puede usar para establecer la permanencia implica el uso de un reproductor de v\u00eddeo antiguo con una vulnerabilidad conocida de desbordamiento de b\u00fafer. A trav\u00e9s del Planificador de tareas, los ciberdelincuentes crean una tarea programada regularmente que llama al reproductor, cuyo archivo de configuraci\u00f3n ha sido modificado para aprovechar la vulnerabilidad, para cargar el c\u00f3digo requerido necesario en la siguiente etapa del ataque.<\/p>\n

Sin embargo, si los atacantes de InvisiMole logran obtener los derechos de administrador, pueden implementar otro m\u00e9todo que utilice el componente leg\u00edtimo del sistema setupSNK.exe, la biblioteca de Windows XP wdigest.dll y Rundll32.exe (tambi\u00e9n del sistema obsoleto), necesarios para ejecutar la biblioteca. Luego manipulan los datos que la biblioteca carga en la memoria y, como esta fue creada antes de la aplicaci\u00f3n de la tecnolog\u00eda ASLR, los ciberdelincuentes conocen la direcci\u00f3n exacta de la memoria en la que se cargar\u00e1n los datos.<\/p>\n

Almacenan la mayor parte de la carga \u00fatil maliciosa en el registro en forma cifrada y todas las bibliotecas y ejecutables que utilizan son leg\u00edtimas. Por tanto, lo \u00fanico que podr\u00eda delatar la presencia de un enemigo en su interior es el archivo con la configuraci\u00f3n del reproductor y el peque\u00f1o exploit<\/em> que se ocupa de las bibliotecas obsoletas. Como norma general, esto no es suficiente para despertar la sospecha de un sistema de seguridad.<\/p>\n

C\u00f3mo mantenerse a salvo<\/h2>\n

Para evitar que los ciberdelincuentes utilicen archivos antiguos y componentes del sistema obsoletos (especialmente los firmados por un editor leg\u00edtimo), tener una base de datos de dichos archivos ser\u00eda un buen comienzo, ya que permitir\u00eda que las defensas existentes los bloqueen o al menos los rastreen (si por alguna raz\u00f3n el bloqueo no es posible). Pero eso es mirar hacia el futuro.<\/p>\n

Hasta que exista dicha lista, utiliza nuestra soluci\u00f3n de clase EDR<\/a>\u00a0<\/strong>para:<\/p>\n