Hackers aprovechan fallas de seguridad sin parches en Windows para infiltrarse en organizaciones

Recientemente, hackers han logrado infiltrarse en al menos una organización, aprovechando vulnerabilidades de seguridad de Windows que fueron publicadas en línea por un investigador descontento. La firma de ciberseguridad Huntress alertó que ha observado ataques que utilizan tres fallas en Windows, denominadas BlueHammer, UnDefend y RedSun.

Hasta el momento, no está claro quiénes son los objetivos de estos ataques ni quiénes son los hackers responsables. Sin embargo, BlueHammer es la única de las tres vulnerabilidades que Microsoft ha parcheado hasta ahora, con una actualización lanzada a principios de esta semana.

Los atacantes parecen estar utilizando el código de explotación que el investigador publicó en línea. Este mismo investigador, conocido como Chaotic Eclipse, había revelado en su blog el código para explotar una vulnerabilidad no parcheada en Windows, indicando que su motivación era un conflicto con Microsoft.

En sus palabras, "no estaba bromeando con Microsoft y lo estoy haciendo de nuevo". Agradeció a la dirección de MSRC (Microsoft Security Response Center) por hacer esto posible.

Días después, Chaotic Eclipse publicó sobre UnDefend, y luego, a principios de esta semana, lanzó información sobre RedSun. El investigador hizo público el código para explotar las tres vulnerabilidades en su página de GitHub.

Las tres vulnerabilidades afectan al antivirus Windows Defender, permitiendo a un hacker obtener acceso de alto nivel o de administrador a un ordenador con Windows afectado.

TechCrunch intentó contactar a Chaotic Eclipse para obtener comentarios, pero no tuvo éxito.

En respuesta a preguntas específicas, el director de comunicaciones de Microsoft, Ben Hope, declaró que la compañía apoya la "divulgación coordinada de vulnerabilidades, una práctica adoptada por la industria que ayuda a garantizar que los problemas sean investigados y abordados antes de su divulgación pública, protegiendo tanto a los clientes como a la comunidad de investigación de seguridad".

Este caso representa lo que la industria de ciberseguridad denomina "divulgación completa". Cuando los investigadores descubren un fallo, pueden informarlo al fabricante del software afectado para ayudar a solucionarlo. En este punto, generalmente la compañía reconoce la recepción y, si la vulnerabilidad es legítima, trabaja en un parche. A menudo, se acuerda un cronograma que establece cuándo el investigador puede explicar públicamente sus hallazgos.

Sin embargo, a veces, por diversas razones, esa comunicación se interrumpe y los investigadores divulgan públicamente detalles sobre el error. En algunos casos, para demostrar la existencia o gravedad de un fallo, los investigadores publican código de "prueba de concepto" capaz de abusar de esa vulnerabilidad.

Cuando esto ocurre, cibercriminales, hackers gubernamentales y otros pueden tomar el código y utilizarlo para sus ataques, lo que lleva a los defensores de la ciberseguridad a apresurarse a lidiar con las consecuencias.

Según John Hammond, uno de los investigadores de Huntress que ha estado siguiendo el caso, "con estas vulnerabilidades tan fácilmente disponibles ahora, y ya armadas para un uso sencillo, esto nos coloca en otra lucha entre defensores y cibercriminales".

Hammond añadió: "Escenarios como estos nos obligan a correr con nuestros adversarios; los defensores intentan protegerse frenéticamente de actores malintencionados que aprovechan rápidamente estas explotaciones... especialmente ahora que son herramientas listas para atacantes".