Los hackers siempre van innovando a la hora de poder lanzar ataques de malware. Ya sea para robar dinero o información sensible de sus víctimas. Y es que, aunque tengamos de protección los antivirus en nuestros ordenadores, este ataque contra Windows puede tumbar por completo el sistema de protección del software de Microsoft.
De hecho, en esta ocasión, así ha sido. Básicamente, porque los piratas informáticos han encontrado una forma efectiva de desactivar ciertos antivirus de los ordenadores con Windows, lo que les abre la puerta a implementar todo tipo de malware en esos PC que se han quedado sin protección. Además de esto, os diremos cuáles son las recomendaciones de los expertos en seguridad y de Microsoft.
El malware que desactiva un antivirus
Durante el año pasado, la compañía de ciberseguridad AhnLab Security descubrió hasta dos ataques de este tipo. En estos, comprobaron dos vulnerabilidades en el programa Sunlogin, un software de control remoto que ha sido desarrollado en China. El problema viene cuando se han descubierto dos vulnerabilidades de ejecución remota de código: CNVD-2022-10270 y CNVD-2022-03672. Estas vulnerabilidades, que se han encontrado en este programa de control remoto, están presentes en Sunlogin v11.0.0.33 y anteriores.
De esta manera, se consigue al implementar un script encriptado de PoweShell que se desactive el programa de protección de los dispositivos Windows, en este caso, el antivirus que se tenga habilitado en ese momento en el ordenador. Básicamente, esos scripts de PoweShell logra decodificar un ejecutable portátil .NET, un programa de código abierto Mhyprot2DrvControl modificado que utiliza los controladores vulnerables de Windows para lograr obtener privilegios a nivel del kernel. Básicamente, el desarrollador de Mhyprot2DrvControl usa los privilegios escalados a través de mhyprot2.sys.
Además, una vez que los atacantes pueden deshabilitar por completo el antivirus de un ordenador Windows, tienen un nuevo propósito: instalar el malware que quieran. Ya sea para robar datos privados (información bancaria, del usuario…) o para cualquier otro motivo, como podría ser espiar a las víctimas. Incluso, en diferentes ocasiones llegaban a instalar malware como Sliver, Gh0st RAT (troyano de acceso remoto) o hasta un software con el que minar criptomonedas XMRig.
Usa la técnica BYOVD
Este método que se ha empleado se conoce como BYOVD (Bring Your Own Device), una forma de hablar sobre el hecho de usar los dispositivos personales para acceder a los recursos de tu empresa o trabajo. Para evitar justamente esto, Microsoft recomienda que los administradores de Windows habiliten la lista de bloqueo de controladores vulnerables con el objetivo de poder protegerse contra los ataques BYOVD.
Y no solo nos encontramos con esta recomendación de Microsoft, sino que los expertos en seguridad cibernética de AhnLab Security nos dejan claro que, si estamos utilizando este programa en nuestro PC Windows, no solo tenemos que actualizar el software para tener el parche de seguridad que evita que puedan explotar estas dos vulnerabilidades, también es recomendable actualizar el sistema operativo. De esta manera, conseguiremos no caer en la trampa de estos hackers y, sobre todo, no tendremos que hacer frente a este malware en particular.
The post Este brutal ataque contra Windows es capaz de tumbar tu antivirus appeared first on ADSLZone.
