T3 Ep113: Aprovechando el kernel de Windows: los delincuentes que engañaron a Microsoft [Audio + Texto] PlatoBlockchain Data Intelligence. Búsqueda vertical. Ai.

T3 Ep113: Pwning the Windows kernel: los delincuentes que engañaron a Microsoft [Audio + Texto]

Marca de tiempo: 15 de diciembre de 2022 12:10 p.m.

by
Paul patito

PWNING DEL NÚCLEO DE WINDOWS

Haga clic y arrastre en las ondas sonoras de abajo para saltar a cualquier punto. Tú también puedes escuchar directamente en Soundcloud.

Con Doug Aamoth y Paul Ducklin. Música de introducción y salida de Edith Mudge.

Puedes escucharnos en SoundCloud, Podcasts de Apple, Podcasts de Google, Spotify, Stitcher y en cualquier lugar donde se encuentren buenos podcasts. O simplemente suelta el URL de nuestro feed RSS en tu cazador de vainas favorito.

LEER LA TRANSCRIPCIÓN

DOUG.  Spyware inalámbrico, robo de tarjetas de crédito y parches en abundancia.

Todo eso, y más, en el podcast de Naked Security.

[MÓDEM MUSICAL]

Bienvenidos al podcast, todos.

Soy Doug Aamoth; él es Paul Ducklin.

Pablo, ¿cómo estás?

PATO.  Estoy muy bien, Doug.

Fría, pero bien.

DOUG.  Aquí también hace mucho frío y todos están enfermos... pero eso es diciembre para ti.

Hablando de diciembre, nos gusta comenzar el espectáculo con nuestro Esta semana en la historia de la tecnología segmento.

Tenemos una entrada emocionante esta semana: el 16 de diciembre de 2003, el entonces presidente de los EE. UU. George W. Bush promulgó la Ley CAN-SPAM.

Un backrónimo de controlar el asalto de la pornografía y el marketing no solicitados, CAN-SPAM fue visto como relativamente ineficaz por razones tales como no requerir el consentimiento de los destinatarios para recibir correo electrónico de marketing y no permitir que las personas demanden a los spammers.

Se creía que, en 2004, menos del 1 % del spam cumplía realmente con la ley.

PATO.  Sí, es fácil decir esto en retrospectiva...

…pero como algunos de nosotros bromeamos en ese momento, pensamos que lo llamaron CAN-SPAM porque eso es *exactamente* lo que podrías hacer. [LA RISA]

DOUG.  “¡PUEDES enviar spam!”

PATO.  Supongo que la idea era: "Comencemos con un enfoque muy suave".

[TONO IRONICO] Así que fue el comienzo, ciertamente, no de tanto.

DOUG.  [RISAS] Llegaremos allí eventualmente.

Hablando de cosas malas y peores...

…Microsoft Patch Tuesday: nada que ver aquí, a menos que cuente un controlador de kernel malicioso firmado?!

El malware de controlador firmado asciende en la cadena de confianza del software

PATO.  Bueno, en realidad varios: el equipo de respuesta rápida de Sophos encontró estos artefactos en compromisos que tuvieron.

No solo Sophos: Microsoft enumera al menos otros dos grupos de investigación de seguridad cibernética que se han topado con estas cosas últimamente: controladores de kernel a los que Microsoft les otorgó un sello de aprobación digital.

Microsoft ahora tiene un aviso que culpa a los socios deshonestos.

¿Si en realidad crearon una empresa que pretendía hacer hardware, especialmente para unirse al programa de controladores con la intención de introducir a escondidas los controladores del kernel dudosos?

¿O si sobornaron a una empresa que ya formaba parte del programa para jugar con ellos?

O si piratearon a una empresa que ni siquiera se dio cuenta de que estaba siendo utilizada como un vehículo para decirle a Microsoft: "Oye, necesitamos producir este controlador de kernel, ¿lo certificarías?"...

El problema con los controladores de kernel certificados, por supuesto, es que deben estar firmados por Microsoft, y dado que la firma del controlador es obligatoria en Windows, significa que si puede obtener su controlador de kernel firmado, no necesita hacks ni vulnerabilidades o exploits para poder cargar uno como parte de un ciberataque.

Simplemente puede instalar el controlador y el sistema dirá: “Bueno, está firmado. Por lo tanto, está permitido cargarlo”.

Y, por supuesto, puede hacer mucho más daño cuando está dentro del kernel que cuando es "simplemente" administrador.

En particular, obtiene acceso interno a la gestión de procesos.

Como administrador, puede ejecutar un programa que diga "Quiero eliminar el programa XYZ", que podría ser, por ejemplo, un antivirus o una herramienta de búsqueda de amenazas.

Y ese programa puede resistirse a ser cerrado porque, asumiendo que también es de nivel administrativo, ningún proceso puede reclamar primacía absoluta sobre el otro.

Pero si está dentro del sistema operativo, es el sistema operativo el que se encarga de iniciar y finalizar los procesos, por lo que obtiene mucho más poder para eliminar cosas como el software de seguridad...

…y aparentemente eso es exactamente lo que estaban haciendo estos ladrones.

En "la historia se repite", recuerdo, hace años y años, cuando investigábamos el software que los delincuentes usaban para terminar los programas de seguridad, por lo general tenían listas de entre 100 y 200 procesos que estaban interesados ​​en eliminar: sistema operativo procesos, programas antivirus de 20 proveedores diferentes, todo ese tipo de cosas.

Y esta vez, creo que había 186 programas que su controlador estaba allí para matar.

Así que un poco de vergüenza para Microsoft.

Afortunadamente, ahora han expulsado a esos codificadores deshonestos de su programa de desarrollo y han incluido en la lista negra al menos a todos los controladores dudosos conocidos.

DOUG.  Así que eso no es todo lo que era revelado el martes de parches.

También hubo algunos días cero, algunos errores de RCE y otras cosas de esa naturaleza:

Martes de parches: 0 días, errores RCE y una curiosa historia de malware firmado

PATO.  Sí.

Afortunadamente, los errores de día cero corregidos este mes no eran lo que se conoce como RCE, o ejecución remota de código agujeros

Por lo tanto, no proporcionaron una ruta directa para que los atacantes externos accedieran a su red y ejecutaran lo que quisieran.

Pero había un error en el controlador del kernel en DirectX que permitiría a alguien que ya estaba en su computadora básicamente promocionarse para tener poderes a nivel de kernel.

Eso es un poco como traer su propio controlador firmado: *sabe* que puede cargarlo.

En este caso, explota un error en un controlador que es confiable y que le permite hacer cosas dentro del kernel.

Obviamente, ese es el tipo de cosa que convierte un ataque cibernético que ya es una mala noticia en algo mucho, mucho peor.

Así que definitivamente quieres parchear contra eso.

Curiosamente, parece que eso solo se aplica a la última versión, es decir, 2022H2 (segunda mitad del año es lo que significa H2) de Windows 11.

Definitivamente quieres asegurarte de tener eso.

Y había un error intrigante en Windows SmartScreen, que es básicamente la herramienta de filtrado de Windows que cuando intentas descargar algo que podría ser o es peligroso, te da una advertencia.

Entonces, obviamente, si los ladrones han encontrado, “¡Oh, no! Tenemos este ataque de malware y estaba funcionando muy bien, pero ahora Smart Screen lo está bloqueando, ¿qué vamos a hacer?”…

… o pueden huir y construir un ataque completamente nuevo, o pueden encontrar una vulnerabilidad que les permita eludir Smart Screen para que la advertencia no aparezca.

Y eso es exactamente lo que sucedió en CVE-2022-44698, Douglas.

Entonces, esos son los días cero.

Como dijiste, hay algunos errores de ejecución remota de código en la mezcla, pero no se sabe que ninguno de ellos esté en la naturaleza.

Si los parchea, se adelanta a los ladrones, en lugar de simplemente ponerse al día.

DOUG.  Bien, sigamos con el tema de los parches…

…y me encanta la primera parte de esto titular.

Simplemente dice, "Apple parchea todo":

Apple parchea todo, finalmente revela el misterio de iOS 16.1.2

PATO.  Sí, no se me ocurrió ninguna manera de enumerar todos los sistemas operativos en 70 caracteres o menos. [LA RISA]

Así que pensé: "Bueno, esto es literalmente todo".

Y el problema es que la última vez que escribimos sobre una actualización de Apple, fue solo iOS (iPhones) y solo iOS 16.1.2:

Apple lanza una actualización de seguridad de iOS que es más discreta que nunca

Entonces, si tuvieras iOS 15, ¿qué harías?

¿Estuviste en riesgo?

¿Ibas a recibir la actualización más tarde?

Esta vez, la noticia sobre la última actualización finalmente salió a la luz.

Parece, Doug, que la razón por la que obtuvimos la actualización de iOS 16.1.2 es que hubo un exploit en estado salvaje, ahora conocido como CVE-2022-42856, y ese fue un error en WebKit, el motor de renderizado web. dentro de los sistemas operativos de Apple.

Y, al parecer, ese error podría activarse simplemente atrayéndolo para que vea algún contenido con trampas explosivas, lo que se conoce en el comercio como un instalación automática, donde solo echas un vistazo a una página y, "Oh, querido", en el fondo, se instala el malware.

Ahora, aparentemente, el exploit que se encontró solo funcionó en iOS.

Presumiblemente, esa es la razón por la que Apple no apresuró las actualizaciones para todas las demás plataformas, aunque macOS (las tres versiones compatibles), tvOS, iPadOS... todas contenían ese error.

Aparentemente, el único sistema que no lo hizo fue watchOS.

Entonces, ese error estaba en casi todo el software de Apple, pero aparentemente solo era explotable, hasta donde ellos sabían, a través de un exploit en el salvaje, en iOS.

Pero ahora, extrañamente, dicen: "Solo en iOS antes de 15.1", lo que hace que te preguntes: "¿Por qué no publicaron una actualización para iOS 15, en ese caso?"

¡Simplemente no lo sabemos!

¿Tal vez esperaban que si lanzaban iOS 16.1.2, algunas personas en iOS 15 se actualizarían de todos modos, y eso solucionaría el problema para ellos?

O tal vez aún no estaban seguros de que iOS 16 no fuera vulnerable, y fue más rápido y más fácil publicar la actualización (para la cual tienen un proceso bien definido), que hacer suficientes pruebas para determinar que el error no pudo. t ser explotado en iOS 16 fácilmente.

Probablemente nunca lo sabremos, Doug, ¡pero es una historia de fondo bastante fascinante en todo esto!

Pero, de hecho, como dijiste, hay una actualización para todos con un producto con el logotipo de Apple.

Entonces: No se demore/Hágalo hoy.

DOUG.  Pasemos a nuestros amigos de la Universidad Ben-Gurion... están de vuelta.

Han desarrollado algunos spyware inalámbricos, un pequeño e ingenioso truco de software espía inalámbrico:

COVID-bit: el truco del software espía inalámbrico con un nombre desafortunado

PATO.  Sí… no estoy seguro del nombre; No sé lo que estaban pensando allí.

lo han llamado COVID-bit.

DOUG.  Un poco extraño.

PATO.  Creo que a todos nos ha picado el COVID de una forma u otra…

DOUG.  ¿Quizás eso es todo?

PATO.  El COV está destinado a representar encubierto, y no dicen qué ID-bit representa.

Supuse que podría ser "divulgación de información poco a poco", pero sin embargo es una historia fascinante.

Nos encanta escribir sobre la investigación que hace este Departamento porque, aunque para la mayoría de nosotros es un poco hipotético…

… están buscando cómo violar las brechas de aire de la red, que es donde ejecuta una red segura que deliberadamente mantiene separada de todo lo demás.

Entonces, para la mayoría de nosotros, ese no es un gran problema, al menos en casa.

Pero lo que están viendo es que *incluso si sella físicamente una red de otra*, y en estos días entran y extraen todas las tarjetas inalámbricas, las tarjetas Bluetooth, las tarjetas de comunicaciones de campo cercano, o cortan cables y rompen trazas de circuito en la placa de circuito para detener el funcionamiento de cualquier conectividad inalámbrica...

…¿hay alguna forma de que un atacante que obtiene acceso único al área segura, o un infiltrado corrupto, pueda filtrar datos de una manera en gran medida imposible de rastrear?

Y desafortunadamente, resulta que sellar completamente una red de equipos informáticos de otra es mucho más difícil de lo que piensas.

Los lectores habituales sabrán que hemos escrito sobre un montón de cosas que estos chicos han ideado antes.

Han tenido GAIROSCOPE, que es donde realmente reutilizas la pantalla de un teléfono móvil chip de brújula como un micrófono de baja fidelidad.

DOUG.  [RISAS] Recuerdo ese:

Romper la seguridad del espacio de aire: usar el giroscopio de su teléfono como micrófono

PATO.  Porque esos chips pueden sentir las vibraciones lo suficientemente bien.

Han tenido LANTENNA, que es donde coloca señales en una red cableada que está dentro del área segura, y los cables de red en realidad actúan como estaciones de radio en miniatura.

Dejan escapar suficiente radiación electromagnética para que pueda captarla fuera del área segura, por lo que están utilizando una red cableada como transmisor inalámbrico.

Y tenían algo que en broma llamaban FANSMITTER, que es donde vas, "Bueno, ¿podemos hacer señales de audio? Obviamente, si solo reproducimos melodías a través del altavoz, como [ruidos de marcación] bip-bip-bip-bip-bip, será bastante obvio”.

Pero, ¿qué pasa si variamos la carga de la CPU, de modo que el ventilador se acelere y se ralentice? ¿Podríamos usar el cambio en la velocidad del ventilador casi como una especie de señal de semáforo?

¿Se puede usar el ventilador de tu computadora para espiarte?

Y en este último ataque, pensaron: "¿De qué otra manera podemos convertir algo dentro de casi todas las computadoras del mundo, algo que parece lo suficientemente inocente... cómo podemos convertirlo en una estación de radio de muy, muy baja potencia?"

Y en este caso, pudieron hacerlo utilizando la fuente de alimentación.

Pudieron hacerlo en una Raspberry Pi, en una computadora portátil Dell y en una variedad de computadoras de escritorio.

Están utilizando la propia fuente de alimentación de la computadora, que básicamente realiza una conmutación de CC de muy, muy alta frecuencia para cortar un voltaje de CC, generalmente para reducirlo, cientos de miles o millones de veces por segundo.

Encontraron una manera de hacer que se filtrara radiación electromagnética: ondas de radio que podían captar hasta 2 metros de distancia en un teléfono móvil...

…incluso si ese teléfono móvil tenía todas sus funciones inalámbricas apagadas o incluso eliminadas del dispositivo.

El truco que se les ocurrió es: cambias la velocidad a la que está cambiando y detectas los cambios en la frecuencia de cambio.

Imagínese, si quiere un voltaje más bajo (si quiere, por ejemplo, reducir 12 V a 4 V), la onda cuadrada estará encendida durante un tercio del tiempo y apagada durante dos tercios del tiempo.

Si desea 2V, debe cambiar la relación en consecuencia.

Y resulta que las CPU modernas varían tanto su frecuencia como su voltaje para administrar la energía y el sobrecalentamiento.

Entonces, al cambiar la carga de la CPU en uno o más de los núcleos de la CPU, simplemente aumentando y disminuyendo las tareas a una frecuencia comparativamente baja, entre 5000 y 8000 veces por segundo, pudieron obtener el modo conmutado. fuente de alimentación para *cambiar sus modos de conmutación* a esas bajas frecuencias.

Y eso generó emanaciones de radio de muy baja frecuencia a partir de rastros de circuitos o cualquier cable de cobre en la fuente de alimentación.

¡Y pudieron detectar esas emanaciones usando una antena de radio que no era más sofisticada que un simple lazo de alambre!

Entonces, ¿qué haces con un lazo de alambre?

Bueno, finge, Doug, que es un cable de micrófono o un cable de auriculares.

Lo conectas a un conector de audio de 3.5 mm y lo enchufas a tu teléfono móvil como si fueran unos auriculares...

DOUG.  Wow.

PATO.  Grabas la señal de audio que se genera a partir del bucle de cable, porque la señal de audio es básicamente una representación digital de la señal de radio de muy baja frecuencia que has captado.

Pudieron extraer datos de él a una velocidad de entre 100 bits por segundo cuando usaban la computadora portátil, 200 bits por segundo con Raspberry Pi y hasta 1000 bits por segundo, con una tasa de error muy baja, desde las computadoras de escritorio.

Puede obtener cosas como claves AES, claves RSA, incluso pequeños archivos de datos a ese tipo de velocidad.

Pensé que era una historia fascinante.

Si administra un área segura, definitivamente querrá mantenerse al día con estas cosas, porque como dice el viejo refrán, "Los ataques solo mejoran o son más inteligentes".

DOUG.  Y baja tecnología. [LA RISA]

Todo es digital, excepto que tenemos esta fuga analógica que se usa para robar claves AES.

¡Es fascinante!

PATO.  Solo un recordatorio de que debe pensar en lo que hay al otro lado de la pared segura, porque "fuera de la vista definitivamente no significa necesariamente estar fuera de la mente".

DOUG.  Bueno, eso encaja muy bien en nuestro historia final – algo que está fuera de la vista, pero no fuera de la mente:

Robo de tarjetas de crédito: el largo y sinuoso camino del fracaso de la cadena de suministro

Si alguna vez ha creado una página web, sabe que puede colocar código de análisis, una pequeña línea de JavaScript, allí para Google Analytics, o compañías similares, para ver cómo están sus estadísticas.

Había una empresa de análisis gratuita llamada Cockpit a principios de la década de 2010, por lo que la gente estaba poniendo este código de Cockpit, esta pequeña línea de JavaScript, en sus páginas web.

Pero Cockpit cerró en 2014 y dejó que el nombre de dominio caducara.

Y luego, en 2021, los ciberdelincuentes pensaron: “Algunos sitios de comercio electrónico todavía permiten que se ejecute este código; todavía están llamando a este JavaScript. ¿Por qué no compramos el nombre de dominio y luego podemos inyectar lo que queramos en estos sitios que aún no han eliminado esa línea de JavaScript?

PATO.  Sí.

¿Qué podría salir bien, Doug?

DOUG.  [RISAS] ¡Exacto!

PATO.  ¡Siete años!

Habrían tenido una entrada en todos sus registros de prueba que decía: Could not source the file cockpit.js (o lo que sea) from site cockpit.jp, Yo pienso que fue.

Entonces, como usted dice, cuando los ladrones volvieron a encender el dominio y comenzaron a colocar archivos allí para ver qué pasaba...

… notaron que muchos sitios de comercio electrónico consumían y ejecutaban ciega y felizmente el código JavaScript de los ladrones dentro de los navegadores web de sus clientes.

DOUG.  [LUAGHING] "Oye, mi sitio ya no arroja un error, está funcionando".

PATO.  [INCREDULOUS] "Deben haberlo arreglado"... para una comprensión especial de la palabra "arreglado", Doug.

Por supuesto, si puede inyectar JavaScript arbitrario en la página web de alguien, entonces puede hacer que esa página web haga lo que quiera.

Y si, en particular, está apuntando a sitios de comercio electrónico, puede configurar lo que es esencialmente un código de spyware para buscar páginas particulares que tienen formularios web particulares con campos con nombres particulares en ellos...

…como número de pasaporte, número de tarjeta de crédito, CVV, lo que sea.

Y básicamente puede extraer todos los datos confidenciales sin cifrar, los datos personales, que el usuario está ingresando.

Todavía no ha entrado en el proceso de encriptación HTTPS, por lo que lo extrae del navegador, lo encripta HTTPS *usted mismo* y lo envía a una base de datos administrada por ladrones.

Y, por supuesto, otra cosa que puede hacer es alterar activamente las páginas web cuando llegan.

Entonces puede atraer a alguien a un sitio web, uno que sea el sitio web *correcto*; es un sitio web al que han ido antes, en el que saben que pueden confiar (o creen que pueden confiar).

Si hay un formulario web en ese sitio que, digamos, generalmente les pide el nombre y el número de referencia de la cuenta, bueno, solo agrega un par de campos adicionales, y dado que la persona ya confía en el sitio...

… si dice nombre, identificación y [añadir] fecha de nacimiento?

Es muy probable que solo ingresen su fecha de nacimiento porque piensan: "Supongo que es parte de su verificación de identidad".

DOUG.  Esto es evitable.

Podrías empezar por revisión de los enlaces de su cadena de suministro basada en la web.

PATO.  Sí.

¿Quizás una vez cada siete años sería un comienzo? [LA RISA]

Si no estás mirando, entonces realmente eres parte del problema, no parte de la solución.

DOUG.  También podrías, oh, no sé... revisa tus registros?

PATO.  Sí.

Nuevamente, ¿podría comenzar una vez cada siete años?

Permíteme decir lo que dijimos antes en el podcast, Doug...

…si va a recopilar registros que nunca mira, *simplemente no se moleste en recopilarlos*.

Deje de engañarse y no recopile los datos.

Porque, en realidad, lo mejor que le puede pasar a los datos si los recopila y no los mira, es que las personas equivocadas no los obtengan por error.

DOUG.  Luego, por supuesto, realice transacciones de prueba con regularidad.

PATO.  ¿Debería decir: "Una vez cada siete años sería un comienzo"? [LA RISA]

DOUG.  Por supuesto, sí... [WRY] Eso podría ser lo suficientemente regular, supongo.

PATO.  Si es una empresa de comercio electrónico y espera que sus usuarios visiten su sitio web, acostúmbrese a una apariencia particular y confíe en ella...

…entonces les debes a ellos probar que el aspecto y la sensación son correctos.

Regular y frecuentemente.

Tan fácil como eso.

DOUG.  Ok muy bien.

Y a medida que el programa comienza a terminar, escuchemos a uno de nuestros lectores sobre esta historia.

Larry comenta:

¿Revisar los enlaces de su cadena de suministro basada en la web?

Ojalá Epic Software hubiera hecho esto antes de enviar el error de seguimiento de Meta a todos sus clientes.

Estoy convencido de que hay una nueva generación de desarrolladores que piensan que el desarrollo se trata de encontrar fragmentos de código en cualquier lugar de Internet y pegarlos sin críticas en su producto de trabajo.

PATO.  Si tan solo no hubiéramos desarrollado un código como ese...

…donde vas, “Lo sé, usaré esta biblioteca; Lo descargaré de esta fantástica página de GitHub que encontré.

Oh, ¿¡necesita un montón de otras cosas!?

Oh, mira, puede satisfacer los requisitos automáticamente... bueno, ¡hagámoslo entonces!

Desafortunadamente, debe *ser dueño de su cadena de suministro*, y eso significa comprender todo lo que implica.

Si está pensando en la Lista de materiales de software [SBoM], camino, donde piensa: "Sí, enumeraré todo lo que uso", no es suficiente enumerar el primer nivel de las cosas que usa.

También necesita saber, y ser capaz de documentar, y saber que puede confiar, todas las cosas de las que esas cosas dependen, y así sucesivamente:

Las pulgas pequeñas tienen pulgas menores en la espalda para morderlas Y las pulgas menores tienen pulgas menores Y así hasta el infinito.

*Así es* cómo tienes que perseguir tu cadena de suministro.

DOUG.  ¡Bien dicho!

Muy bien, muchas gracias, Larry, por enviar ese comentario.

Si tiene una historia interesante, un comentario o una pregunta que le gustaría enviar, nos encantaría leerla en el podcast.

Puede enviar un correo electrónico a tips@sophos.com, puede comentar cualquiera de nuestros artículos o puede contactarnos en las redes sociales: @NakedSecurity.

Ese es nuestro programa de hoy; muchas gracias por escuchar

Para Paul Ducklin, soy Doug Aamoth, les recuerdo, hasta la próxima, que...

AMBAS COSAS.  ¡Mantente seguro!

[MÓDEM MUSICAL]

Sello de tiempo:

Mas de Seguridad desnuda