Microsoft ha emitido una alerta de seguridad en relación con una vulnerabilidad detectada en el Spooler de Impresión de Windows. Esta vulnerabilidad ha sido identificada y reportada por la Agencia de Seguridad Nacional de Estados Unidos (NSA). Se ha revelado que el grupo de amenazas conocido como APT28, que se cree está vinculado con la inteligencia militar de Rusia, ha estado explotando activamente esta debilidad en el sistema.
El método de ataque implica la escalada de privilegios dentro de la red afectada, lo que permite a los atacantes obtener acceso a credenciales y datos confidenciales. La herramienta utilizada para esta operación ha sido denominada GooseEgg y hasta el momento de la advertencia, no había sido detectada por los sistemas de seguridad informática. Este incidente subraya la importancia de mantener los sistemas actualizados y monitoreados constantemente para detectar y mitigar tales amenazas. La comunidad de ciberseguridad está ahora en estado de alerta, trabajando para comprender mejor la vulnerabilidad y cómo protegerse contra futuras explotaciones de este tipo. Microsoft ha recomendado a los usuarios que apliquen las actualizaciones de seguridad proporcionadas y sigan las mejores prácticas para asegurar sus entornos informáticos contra ataques maliciosos.
La vulnerabilidad identificada como CVE-2022-38028, reportada en el boletín de seguridad de Microsoft de octubre de 2022, representa un riesgo significativo para la ciberseguridad. Se ha confirmado que el grupo de ciberespionaje conocido como APT28 ha estado explotando esta vulnerabilidad desde junio de 2020, y posiblemente desde abril de 2019. La explotación de esta vulnerabilidad permite a los atacantes ejecutar comandos con privilegios elevados y desplegar cargas útiles maliciosas, lo que aumenta considerablemente el potencial de daño en los sistemas afectados.
APT28, también conocido como Fancy Bear, utiliza una herramienta denominada GooseEgg para llevar a cabo sus operaciones de ataque. Esta herramienta se manifiesta en forma de scripts batch de Windows, comúnmente llamados ‘execute.bat’ o ‘doit.bat’, y es utilizada por los atacantes para lograr persistencia en los sistemas comprometidos y para la ejecución de código de manera remota. GooseEgg también se ha asociado con la inserción de archivos DLL maliciosos en el servicio PrintSpooler de Windows, lo que facilita a los atacantes la capacidad de moverse lateralmente dentro de las redes infectadas y ejecutar código en sistemas comprometidos.
Los incidentes relacionados con APT28 no son aislados; esta entidad ha sido vinculada a una serie de campañas de ciberataques de alto perfil. Sus objetivos han incluido gobiernos, organizaciones no gubernamentales, así como sectores de transporte y educación en regiones como Ucrania, Europa Occidental y América del Norte. Activo desde mediados de la década de 2000, APT28 ha sido responsable de numerosos incidentes cibernéticos notables, incluyendo el ataque al Parlamento Federal Alemán y las operaciones dirigidas contra los comités de campaña del Partido Demócrata de los Estados Unidos previo a las elecciones presidenciales de 2016. La continuidad de estas actividades subraya la importancia de una vigilancia constante y la implementación de medidas de seguridad robustas para contrarrestar las amenazas persistentes en el ciberespacio.
En SDNET podemos ayudarte a hacer una auditoria de seguridad en tus equipos, redes y servidores. Llámanos, uno de nuestros asesores te puede orientar sobre cómo proteger la información de tu empresa de ataques maliciosos.
