Hackers rusos vuelven a atacar Windows

Windows se ha convertido en uno de los grandes focos de atención por parte de los hackers rusos. Microsoft acaba de advertir de una nueva vulnerabilidad que afecta a Windows Print Spooler y que, mediante una brecha de seguridad, trata de hacerse con el control de nuestro ordenador.

APT28 es uno de los grupos de hackers asentados en Rusia que han puesto en jaque a diferentes países durante la última década. Hace apenas un año, los servicios de inteligencia de Estados Unidos y de Reino Unido detectaron que, aprovechándose de la implementación de un malware, estaban recopilando información confidencial de objetivos de ambos países. Ahora, Microsoft acaba de alertar que este mismo grupo habría estado aprovechándose de una vulnerabilidad de Windows Print Spooler para escalar privilegios y robar todo tipo de credenciales y datos de los usuarios.

Pese a que no han sabido identificar exactamente el momento en el que se produjo esta intromisión a su sistema, es posible que hayan estado aprovechándose de esta brecha de seguridad desde “al menos, junio de 2020” y “posiblemente ya en abril de 2019”.

Más privilegios

Según afirman desde Microsoft, los piratas informáticos utilizaban GooseEgg para distribuir malware y ejecutar diferentes comandos con privilegios de administrador en el sistema. En palabras de la tecnológica, se ha “observado que Forest Blizzard utiliza GooseEgg como parte de actividades posteriores al compromiso contra objetivos que incluyen organizaciones gubernamentales, no gubernamentales, de educación y de transporte de Ucrania, Europa occidental y América del Norte”. Por lo tanto, tampoco se ha podido identificar exactamente cuáles son los objetivos específicos que han perseguido, puesto que han abarcado una amplia variedad de campos.

Para entender la metodología utilizada, conviene tener en cuenta que “GooseEgg es capaz de generar otras aplicaciones especificadas en la línea de comando con permisos elevados, lo que permite a los actores de amenazas respaldar cualquier objetivo posterior, como la ejecución remota de código, la instalación de una puerta trasera y el movimiento lateral a través de redes comprometidas”.

Las recomendaciones de Microsoft

Microsoft ha explicado en la página web que ha dedicado a esta cuestión, accesible desde este enlace, una serie de recomendaciones que pueden protegernos de estos ataques. Entre ellas, se encuentran la necesidad de mantener nuestro sistema operativo, así como todos los programas del mismo, siempre actualizados. En el caso de Print Spooler, se han ido lanzando diferentes actualizaciones durante los años 2021 y 2022. Por lo que es importante cerciorarnos de que, efectivamente, las hemos descargado.

Además, también alerta sobre la necesidad de estar proactivamente a la defensiva. Herramientas como Microsoft Defender y el uso de antivirus están recomendados para protegernos de los ataques. Además, también es importante configurar de manera correcta nuestro equipo para permitir que Microsoft Defender pueda alertarnos de cualquier brecha de seguridad detectada que pueda comprometer la privacidad de nuestros datos.

Por último, ante cualquier amenaza que pueda llegar por correo electrónico o aplicación de mensajería, siempre es recomendable evitar acceder a enlaces que puedan ser fraudulentos hasta que el antivirus los haya examinado y estemos seguros de que no van a comprometer la seguridad de nuestro equipo.

Fuente: Bleeping Computer | adslzone