jueves, 12 de mayo de 2016

Ataque masivo a Puntos de Venta (PoS) usando 0 Day Microsoft Abril 2016

Se reportó el ataque a más de 100 empresas norteamericanas, los ciberdelincuentes buscaban explotar una vulnerabilidad de Windows "Zero Day" basado en el sistema de gráficos de Windows(win32k).


Los ataques comenzaron a principios de marzo y usaron la vulnerabilidad de día cero (CVE 2016-0167) reportada y parcialmente parcheada en los boletines de seguridad de Abril por Microsoft. Este exploit fue encontrado por investigadores de FireEye, quienes atribuyeron la falla a una elevación local de privilegios mediante el subsistema de gráficos. Los atacantes son capaces de explotar la falla una vez que son capaces de ejecutar código remotamente en la PC destino. Microsoft corrigió la vulnerabilidad el 12 de abril y lanzó una actualización posterior (MS16-062) el martes 19.

Este ataque aprovechan la falla presente en estaciones de trabajo las que interactuan con sistemas de puntos de ventas (POS) utilizados por los minoristas, restaurantes. Estas aplicaciones de venta tienen acceso a la informacion de tarjetas de debito/credito.

Estos ataques comenzaron con campañas de phishing a medida ahora llamados "spear-phishing" que contenían documentos de Microsoft Word incrustados con macros conteniendo codigo malicioso, que ejecutaba un downloader malicioso llamado PUNCHBUGGY basicamente es capaz de obtener el código adicional como una libreria DLL a través de una conexión HTTPS.Este descargador fue utilizado por los atacantes para interactuar con los sistemas comprometidos y mover lateralmente a través de la red de la víctima.

Los atacantes han llevado a cabo operaciones a gran escala y a un ritmo rápido, presentan un nivel de capacidad para adaptar sus operaciones sobre la marcha. Habilidades que combinadas con el uso específico de explotan de Zero Days habla de la madurez y sofisticación operativa que los plantea como actores de amenaza global.

En este caso, los atacantes utilizan el CVE-2016-0167 explotar y ejecutar el código subsiguiente como SYSTEM. "El exploit utiliza SetSysColors() para manipula la pila, en pocas palabras, los atacantes son capaces de dañar la memoria del sistema, ejecutar código en modo de usuario. "El código shell luego roba el token de proceso del sistema de Winwdows para elevar un proceso cmd.exe (hijo). El ataque está diseñado para obtener tanto los datos de tarjetas de pago los track 1 y 2.

Las últimas actualizaciones de direcciones de Windows CVE-2016-0167, y protegen plenamente los sistemas de explotación de orientación CVE-2016-0167.

Como medida de precaución, también se recomienda a los usuarios deshabilitar las macros de Office en sus ajustes y para los administradores de la empresa para cumplir una política de grupo para controlar la ejecución de macros para todos los usuarios de Office 2016.


Microsoft Zero Day Exposes 100 Companies to PoS Attack
https://www.fireeye.com/blog/threat-research/2016/05/windows-zero-day-payment-cards.html