Un software de espionaje explotaba dos vulnerabilidades críticas de Windows

Microsoft ha descubierto como una empresa privada llamada SOURGUM ha estado explotando vulnerabilidades de Windows para espiar Gobiernos de todo el mundo.

Las vulnerabilidades explotadas son CVE-2021-21979 y CVE-2021-22771, las cuales ya han sido solventadas con las actualizaciones de seguridad de julio del 2021. Estas vulnerabilidades permitían una escalada de privilegios, dando a un atacante la posibilidad de ejecutar código malicioso.

El espionaje selectivo ha afectado a unas 100 personas según Microsoft. En esta lista de políticos, periodistas, disidentes, activistas y embajadores afectados por el “malware”, la mitad son de Palestina y la resta de Israel, Iran, Líbano, Iemen, Regno Unido, Turquía, Armenia y Singapur. En esta lista también, aparecen personas de España, dónde se especifica entre paréntesis Cataluña.

SOURGUM, conocida también como CANDIRU, permite entrar de forma ilícita en teléfonos móviles, ordenadores, tabletas, dispositivos conectados a internet, espacios de almacenaje a la nube y tecnologías similares.

CANDIRU que se fundó en 2014, siempre ha permanecido oculta ante la ley. Este tipo de industria siempre ha estada rodeada de mucho secretismo. Son empresas que se dedican a encontrar errores y vulnerabilidades informáticas. Candiru siempre ha escondido sus operaciones, su infraestructura y la identidad de sus trabajadores. Para ello se ha cambiado el nombre varias veces. El más reciente ha sido Saito Tech Inc., pero en el sector se la sigue conociendo por el nombre original, Vandellia Cirrhosa.

Para evitar el compromiso de los exploits del navegador, se recomienda utilizar un entorno aislado, como una máquina virtual, al abrir enlaces de partes que no sean de confianza. El uso de una versión moderna de Windows 10 con protecciones basadas en la virtualización, como Credential Guard, evita las capacidades de robo de credenciales LSASS de DevilsTongue. Habilitar la regla de reducción de la superficie de ataque «Bloquear el abuso de controladores firmados vulnerables explotados» en Microsoft Defender para Endpoint bloquea el controlador que usa DevilsTongue. La protección de red bloquea los dominios SOURGUM conocidos.

Hoy día, el espionaje es un negocio en constante crecimiento. Desde el SOC de Infordisa recomendamos extremar las precauciones y recordar las medidas de Seguridad habituales como tener siempre todo el software actualizado, verificar la autenticidad de la paginas visitadas y usar conexiones WIFI a Internet fiables, entre otros. Y como siempre, ante cualquier duda, contacta con nosotros al 977 600 321 o a soporte@infordisa.com

Comparte este contenido:

Deja un comentario

Calendario Ciberseguridad /24

LIVE WEBINAR | 1/2/2024

Cómo proteger tu Active Directory de ataques Ransomware con Tenable

Alertas de seguridad

Mantente informado, recíbelas en tu email
Consulta las últimas alertas