Microsoft elimina fallo que facilitaba la infiltración de Ransomware Magnibert y Qakbot

De acuerdo a una investigación reciente del grupo de Análisis de Amenazas (TAG) de Google del 15 de febrero del 2023, se evidenció el uso de un bypass de seguridad sin parches en la función de seguridad SmartScreen de Microsoft que permite a los ciberactores entregar ransomware sin que se active ninguna advertencia de seguridad.  Esta omisión de seguridad se parcheo el día 15 de marzo de 2023 mediante comunicado de parches de Microsoft detallado en el siguiente boletín como Zero day: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1531/ con el CVE-2023-24880.

Ilustración 1: Descripción general de alto nivel de la lógica del diálogo de advertencia de seguridad

Fuente: https://blog.google/

Cómo funciona el bypass que permite la infiltración

La vulnerabilidad raíz fue identificada con el CVE-2022-44698. Que permite a los ciberactores entregan archivos en formato MSI firmados con una firma Authenticode no válida especialmente diseñada para omitir el control de SmartScreen, y hacer que éste devuelva un error el cual hace que se omita el cuadro de diálogo de advertencia de seguridad que se muestra a los usuarios cuando un archivo que no es de confianza o con la marca (MotW), la cual indica que se ha descargado un archivo potencialmente malicioso de Internet.

Firmas de Authenticode

Estas se codifican en una estructura PKCS #7 SignedData que contiene una lista de certificados necesarios para validar la firma y una estructura SignerInfo, que a su vez contiene el emisor y el número de serie del certificado del firmante, que luego se pueden consultar en los certificados SignedData.

En la práctica, los atacantes lograron un cert_context NULL al proporcionar una firma Authenticode donde el número de serie del certificado SignerInfo no se puede encontrar entre los certificados SignedData. Esto hace que wintrust.dll no pueda encontrar el certificado para el firmante, en cuyo caso WTGetSignatureInfo devolverá un valor NULL para cert_context.

Que cubren los parches que eliminan los fallos de seguridad

Microsoft parchó CVE-2022-44698 en smartscreen.exe, al no generar un error en este caso específico, sino al tomar una ruta alternativa, sin embargo, el problema de ésta solución radicó en el nombre THROW_HR, ya que se usa para hacer llamadas desde varias ubicaciones a smartscreen.exe cuando se encuentra algun error, lo que permite a los atacantes devolver  un error a shdocvw[.]dll, que fallará al abrirse y no mostrará una advertencia de seguridad.

El nuevo parche CVE-2023-24880, cubre justamente esta ruta alternativa que estaban tomando los atacantes. La firma en este caso conduce a un cert_context válido, por lo que el parche CVE-2022-44698 ya no es aplicable. Más adelante windows[::]security[::]signature_info[::]retrieve llama a windows[::]security[::]authenticode_information[::]create. Esta función comprueba si crypt_provider_data->pPDSip->psIndirectData no es NULL. Si no lo es, llama a THROW_HR que devolverá de nuevo un error a shdocvw[.]dll; lo que evitará que por el momento los ciberactores empleen el nuevo bypass para obtener un crypt_provider_data->pPDSip->psIndirectData NULL, que les permita corromper  el identificador numérico ASN1 (NID) del SPC_INDIRECT_DATA_OBJID, un identificador de objetos (OID) específico de Authenticode que contiene, por ejemplo, el compendio de mensajes del archivo firmado.

Actores de amenaza explotando la vulnerabilidad

Ransomware Magniber, septiembre 2022. Las campañas de éste ransomware fueron entregadas mediante archivos JScript.

Si bien este ransomware inició sus operaciones en 2017. Sus campañas se intensificaron en el 2021, siguiendo el modelo comercial de ransomware-as-aservice ( RaaS ). Tiene su principal foco en países asiáticos, mostrando interés en industrias u organizaciones educativas, de gobierno, manufactureras, salud, tecnología, energía, transporte e inmobiliaria.

Ilustración 3: Cadena de infección de Magniber

Fuente: https://www.trendmicro.com/

Malware Qakbot, noviembre 2022. Las campañas de éste malware que según la investigación observada, usaron la misma técnica de Magniber con la diferencia del formato del archivo de entrega en donde Qakbot utilizó los de tipo MSI con un tipo diferente de firma.

Este malware bancario también conocido como Qbot, es un troyano vigente desde hace más de una década. Fue descubierto circulando en Internet en 2007 y desde entonces sus autores no han cesado de mantenerlo y desarrollarlo.

Para más información de éste malware puede ver boletín: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/600/

Ilustración 4: Cadena de infección de Qakbot

Fuente: https://securelist.lat/

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Verificar que su equipamiento de detección de amenazas esté con sus firmas actualizadas y operando de forma correcta.
• Realizar Backup (respaldo) de todos los sistemas que posea dentro de su organización.
•  Bajo ningún motivo almacenar los Backup dentro del mismo servidor, equipo o red local.
• Comprobar que las copias de seguridad y los mecanismos de restauración funcionan.
• Asegúrese de que los productos integrados existentes de filtrado y detección, están habilitados y operando de manera correcta.
• Asegurar que los softwares de su organización se encuentren actualizados, priorizando las que parchan las vulnerabilidades informadas en el “Catalogo de vulnerabilidades explotadas conocidas” - informado por US-CISA (https://www.cisa.gov/known-exploited-vulnerabilities-catalog).
• Validar que el personal TI de su organización haya deshabilitado todos los puertos y protocolos que no sean esenciales para el cumplimiento de sus operaciones.
• Validar que todos los accesos remotos a la red de su organización cuentan con “Multi factor de autenticación” (MFA) - recordando que US-CISA agregó la autenticación de un solo factor a la lista de malas prácticas de ciberseguridad "excepcionalmente riesgosas"  (https://www.cisa.gov/uscert/ncas/current-activity/2021/08/30/cisa-adds-single-factor-authentication-list-bad-practices).
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente.
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales.
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada.
  • Habilitar la autenticación de nivel de red (NLA).
• Si su organización utiliza Microsoft Office 365 (M365), considere los siguientes pasos:
  • Asigne algunos (no más de tres) usuarios de confianza como administradores de descubrimiento electrónico (eDiscovery) para realizar búsquedas de contenido forense en todo el entorno de M365 (buzones, equipos, SharePoint y OneDrive) en busca de evidencia de actividad maliciosa.
  • Deshabilite la comunicación remota de PowerShell en Exchange Online para los usuarios habituales de M365.
  • No permita una cantidad ilimitada de intentos fallidos de inicio de sesión. Para configurar estos ajustes, consulte la configuración de bloqueo inteligente de contraseñas (https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-password-smart-lockout).
  • Considere usar una herramienta como Sparrow o Hawk, herramientas de código abierto basadas en PowerShell usadas para recopilar información relacionada con M365, para investigar y auditar intrusiones y posibles filtraciones.
  • Si su organización utiliza servicios en la nube, asegúrese de que el personal TI haya revisado e implementado controles de seguridad estrictos, como los que se indican a continuación:
  • Implemente políticas de acceso restrictivo, según las necesidades de su organización.
  • Establezca una línea de base (Baseline) para la actividad normal de la red dentro de su entorno.
  • Revise periódicamente los registros de inicio de sesión de Active Directory (AD) y los registros de auditoría unificados para detectar actividades anómalas.
  • Implemente Multi Factor de Autenticación (MFA) para todos los usuarios, sin excepción.
  • Hacer cumplir el uso del Multi Factor de Autenticación (MFA).
  • Revise en forma regular las reglas y alertas de reenvío de correo electrónico creadas por el usuario o restrinja el reenvío.
  • Implemente un plan o procedimientos de mitigación; objeto comprender cuándo, cómo y por qué se deben restablecer contraseñas y revocar tokens de sesión.
  • Siga la guía recomendada sobre cómo asegurar el acceso privilegiado .
  • Considere una política que no permita a los colaboradores usar dispositivos personales para el trabajo. Como mínimo, utilice una solución de gestión de dispositivos móviles de confianza.
  • Considere restringir que los usuarios reenvíen correos electrónicos a cuentas fuera de su dominio.
  • Permita que los usuarios den su consentimiento sólo a las integraciones de aplicaciones que hayan sido aprobadas previamente por un administrador.
  • Audite las reglas de correo electrónico con alertas exigibles a través del Centro de seguridad y cumplimiento u otras herramientas que usan Graph API para advertir a los administradores sobre actividades anormales.
  • El acceso condicional debe entenderse e implementarse con una mentalidad de “cero confianza”.
  • Asegúrese de que el registro de acceso de usuarios esté habilitado. Reenvíe los registros a un dispositivo de administración de eventos e información de seguridad (Por ej.: un SIEM), para agregarlos y monitorearlos a fin de no perder la visibilidad de los registros fuera de los períodos de registro.
  • Verifique que todas las instancias de máquinas virtuales basadas en la nube con una IP pública no tengan puertos de Protocolo de escritorio remoto (RDP) abiertos. Coloque cualquier sistema con un puerto RDP abierto detrás de un firewall y solicite a los usuarios que usen una VPN para acceder a él a través del firewall.
  • Centrarse en la concientización y la formación. Informe a los colaboradores sobre las amenazas, como las estafas de phishing, y cómo se entregan. Capacitar a los usuarios sobre los principios y técnicas de seguridad de la información, así como sobre los riesgos y vulnerabilidades generales de ciberseguridad emergentes.
  • Asegúrese de que los colaboradores sepan a quién contactar cuando ven actividad sospechosa o cuando creen que han sido víctimas de un ataque cibernético. Esto asegurará que la estrategia de mitigación adecuada establecida pueda emplearse de manera rápida y eficiente.