Investigadores de ciberseguridad han descubierto que varios actores de amenazas patrocinados por el estado han estado explotando una vulnerabilidad de ocho años en archivos de acceso directo de Windows.
Esta falla de seguridad, identificada como ZDI-CAN-25373, permite a actores maliciosos incrustar comandos ocultos dentro de archivos .lnk, que pueden ejecutarse cuando se abren, comprometiendo potencialmente sistemas y datos confidenciales.
La vulnerabilidad en cuestión explota la forma en que Windows muestra archivos de acceso directo, que a menudo se utilizan para iniciar aplicaciones o abrir archivos.
Al incorporar argumentos de línea de comando en los archivos .lnk, los atacantes pueden ejecutar cargas útiles maliciosas sin alertar al usuario. A pesar de haber sido identificada hace años, Microsoft no ha solucionado esta falla, lo que deja a los usuarios en riesgo.
Según un informe de Trend Micro, la vulnerabilidad ZDI-CAN-25373 ha sido explotada por al menos 11 grupos de amenazas persistentes avanzadas (APT) patrocinados por estados nación, incluyendo Corea del Norte, Irán, Rusia y China.
Estos grupos han utilizado esta vulnerabilidad para atacar a una amplia gama de organizaciones en sectores críticos como el gobierno, las finanzas, las telecomunicaciones, el ejército y la energía.
La amplia explotación de esta vulnerabilidad subraya la creciente sofisticación de las ciberamenazas patrocinadas por el estado.
Los actores de amenazas han empleado una técnica astuta para manipular archivos .lnk, rellenando la estructura COMMAND_LINE_ARGUMENTS con espacios en blanco. Esta manipulación dificulta la detección de contenido malicioso mediante los métodos convencionales de inspección de la interfaz de usuario de Windows.
La vulnerabilidad de tergiversación de la interfaz de usuario, identificada como CWE-451, impide que los usuarios accedan a información crucial sobre los comandos ejecutados por archivos .lnk. Este problema pone de relieve una preocupación más amplia relacionada con las vulnerabilidades de la interfaz de usuario, que pueden ocultar información crítica para la seguridad.
En otras palabras, esta falla de seguridad específica, clasificada dentro de un tipo común de debilidad de software, provoca que los usuarios no puedan ver detalles importantes sobre las acciones que un archivo .lnk va a realizar. Esto es parte de un problema más general en el que las interfaces de usuario pueden ser manipuladas para ocultar información relevante para la seguridad, lo que dificulta que los usuarios detecten actividades maliciosas.
El impacto de esta vulnerabilidad es sustancial. Sin un parche disponible, las organizaciones deben confiar en medidas de vigilancia y seguridad para evitar la explotación.
Se recomienda a los sectores afectados que busquen archivos .lnk sospechosos y garanticen una protección integral de los terminales y la red.
La falta de un parche de seguridad deja a estas organizaciones vulnerables al robo de datos y al ciberespionaje, que son las principales motivaciones detrás de estos ataques.
Los datos de victimología indican que, si bien la mayoría de las muestras fueron enviadas desde América del Norte, la explotación afecta a organizaciones en América del Norte, Europa, Asia, América del Sur, África y Australia.
Este alcance global subraya la necesidad de una respuesta coordinada para mitigar esta amenaza.
A medida que aumentan las tensiones geopolíticas, es probable que la explotación de vulnerabilidades como ZDI-CAN-25373 se vuelva más frecuente.
Los actores de amenazas patrocinados por el Estado continúan perfeccionando sus tácticas, a menudo aprovechando exploits de día cero para obtener ventajas estratégicas.
La ausencia de un parche de seguridad para esta vulnerabilidad de ocho años resalta la importancia de estrategias proactivas de ciberseguridad para que las organizaciones se protejan contra las amenazas en evolución.
Garantizar medidas de seguridad sólidas, monitorear actividades sospechosas y educar a los usuarios sobre riesgos potenciales son pasos críticos para mitigar estos ataques sofisticados.
Recomendaciones
- Implemente medidas de seguridad integrales: Utilice software antivirus y sistemas de detección de intrusiones para identificar y bloquear actividades maliciosas.
- Supervise los archivos sospechosos: Analice periódicamente las redes en busca de archivos .lnk con características inusuales.
- Educar a los usuarios: Informar a los usuarios sobre los riesgos de abrir archivos .lnk desconocidos o sospechosos.
- Implemente planes de respuesta a incidentes: Esté preparado para responder rápidamente en caso de que se detecte un ataque.
La explotación actual de la vulnerabilidad ZDI-CAN-25373 por parte de actores patrocinados por el estado subraya la necesidad urgente de mejorar la vigilancia de la ciberseguridad a nivel mundial.
