Una empresa de ciberseguridad detectó una vulnerabilidad previamente desconocida en el sistema operativo Microsoft Windows que "estaba siendo explotada por un grupo criminal desconocido" en un intento por obtener el control total de un dispositivo específico.
El ataque, de acuerdo con Kaspersky Lab, responsable del descubrimiento, fue dirigido al núcleo del sistema valiéndose de una "puerta trasera" construida a través de elementos legítimos dentro de Windows, por lo que era muy difícil identificar si alguna unidad estaba "infectada".
La puerta trasera explotaba un error en el sistema que se desconocía previamente, a la que se llama "vulnerabilidad de día cero", y que tiene muchas más oportunidades de pasar desapercibida, ya que los antivirus no reconocen la infección del sistema para proteger a sus usuarios.
Kaspersky Lab detectó que la infección aprovechaba la vulnerabilidad de día cero para conseguir privilegios para mantenerse en la máquina de la víctima. Entonces, el malware inició un lanzamiento para crear una puerta trasera desarrollada con un elemento legítimo de Windows, llamado Windows PowerShell.
Esto permitió a los cibercriminales actuar de manera sigilosa y evitar la detección. El malware descargó entonces otra puerta trasera desde un popular servicio de almacenamiento de texto legítimo, lo que le permitió a los cibercriminales el control total del sistema infectado.
"En este ataque observamos dos tendencias principales: el uso de privilegios locales para mantenerse en la máquina de la víctima y segundo, el uso de marcos legítimos de programación para actividades maliciosas", explicó Anton Ivanov, experto en seguridad de Kaspersky Lab.
"Esta combinación proporciona a los cibercriminales la posibilidad de burlar las soluciones corrientes de seguridad. Para detectar este tipo de técnicas, la solución es utilizar motores de prevención de vulnerabilidades", añadió Ivanov.
Después de detectar la vulnerabilidad en el sistema, la compañía que la descubrió reportó el problema a Windows, que desarrolló un parche y lo publicó el 10 de abril pasado para que todos los usuarios pudieran actualizar sus sistema operativo.
La primera recomendación de la compañía es instalar inmediatamente el parche creado por Windows para evitar cualquier problema. "Una vez que esté instalada, los agentes de amenazas pierden la oportunidad de aprovechar la vulnerabilidad", señalaron.
"Todo software debe ser actualizado tan pronto como se den a conocer nuevos parches de seguridad y se deben de usar productos de seguridad con capacidades de evaluación de vulnerabilidad y administración de parches para asegurarse de que estos procesos se ejecuten automáticamente", añadieron.
El Kaspersky Lab es una compañía de ciberseguridad que tiene una cartera de 400 millones de usuarios y unos 270 mil clientes corporativos.