{"id":1995,"date":"2024-08-20T20:56:03","date_gmt":"2024-08-21T01:56:03","guid":{"rendered":"https:\/\/zidrave.net\/?p=1995"},"modified":"2024-08-20T20:56:04","modified_gmt":"2024-08-21T01:56:04","slug":"exploit-php-introduce-malware-en-sistemas-windows","status":"publish","type":"post","link":"https:\/\/zidrave.net\/index.php\/2024\/08\/20\/exploit-php-introduce-malware-en-sistemas-windows\/","title":{"rendered":"Exploit PHP, Introduce Malware en Sistemas Windows"},"content":{"rendered":"\n

Un reciente informe revela que atacantes desconocidos han utilizado una vulnerabilidad cr\u00edtica en PHP para introducir un nuevo malware en sistemas Windows, afectando a una universidad en Taiw\u00e1n. La vulnerabilidad, conocida como CVE-2024-4577, permiti\u00f3 a los atacantes desplegar una puerta trasera denominada Msupedge, que emplea t\u00e9cnicas avanzadas de comunicaci\u00f3n y control.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

La Vulnerabilidad CVE-2024-4577: \u00bfQu\u00e9 es y C\u00f3mo Fue Explotada?<\/h3>\n\n\n\n

CVE-2024-4577 es una falla de inyecci\u00f3n de argumentos PHP-CGI cr\u00edtica que afecta a instalaciones de PHP ejecut\u00e1ndose en modo CGI en sistemas Windows. Esta vulnerabilidad, que fue corregida en junio de 2024, permite a atacantes no autenticados ejecutar c\u00f3digo arbitrario, lo que puede comprometer completamente un sistema.<\/p>\n\n\n\n

Los atacantes desplegaron el malware Msupedge mediante dos bibliotecas de v\u00ednculos din\u00e1micos, weblog.dll<\/code> y wmiclnt.dll<\/code>. La primera de estas bibliotecas es cargada por el proceso Apache httpd.exe<\/code>. La caracter\u00edstica distintiva de Msupedge es su uso del tr\u00e1fico DNS para la comunicaci\u00f3n con su servidor de comando y control (C&C), utilizando la tunelizaci\u00f3n DNS, una t\u00e9cnica que encapsula datos dentro de consultas y respuestas DNS.<\/p>\n\n\n\n

T\u00e9cnicas y Capacidades del Malware Msupedge<\/h3>\n\n\n\n

Msupedge se comunica con el servidor C&C utilizando consultas DNS, una t\u00e9cnica menos com\u00fan pero efectiva para evitar la detecci\u00f3n en la red. El malware utiliza la herramienta de c\u00f3digo abierto dnscat2 para la tunelizaci\u00f3n DNS, lo que permite a los atacantes enviar y recibir comandos a trav\u00e9s de tr\u00e1fico DNS.<\/p>\n\n\n\n

La puerta trasera soporta diversos comandos, incluyendo la creaci\u00f3n de procesos, la descarga de archivos y la gesti\u00f3n de archivos temporales. Adem\u00e1s, el malware se activa en funci\u00f3n del tercer octeto de la direcci\u00f3n IP del servidor C&C, lo que permite a los atacantes realizar acciones espec\u00edficas basadas en esta direcci\u00f3n.<\/p>\n\n\n\n

La Respuesta a la Amenaza y la Evoluci\u00f3n del Ataque<\/h3>\n\n\n\n

El equipo Threat Hunter de Symantec, que investig\u00f3 el incidente, sospecha que los atacantes obtuvieron acceso a los sistemas comprometidos explotando la vulnerabilidad CVE-2024-4577. Esta falla de seguridad elude las protecciones de versiones anteriores de PHP, como CVE-2012-1823, que tambi\u00e9n fue explotada por malware en el pasado.<\/p>\n\n\n\n

La vulnerabilidad fue parcheada poco antes de la detecci\u00f3n del malware, y el d\u00eda despu\u00e9s del lanzamiento del parche, WatchTowr Labs public\u00f3 un c\u00f3digo de explotaci\u00f3n de prueba de concepto (PoC). La Shadowserver Foundation tambi\u00e9n inform\u00f3 intentos de explotaci\u00f3n en sus honeypots. Menos de 48 horas despu\u00e9s de la publicaci\u00f3n de los parches, el ransomware TellYouThePass comenz\u00f3 a explotar la vulnerabilidad para implementar webshells y cifrar sistemas.<\/p>\n\n\n\n

Implicaciones y Medidas a Tomar<\/h3>\n\n\n\n

El ataque subraya la importancia de aplicar r\u00e1pidamente parches de seguridad y de estar atento a las vulnerabilidades reci\u00e9n descubiertas. Las t\u00e9cnicas empleadas por Msupedge destacan la sofisticaci\u00f3n de los ataques modernos y la necesidad de medidas de seguridad robustas y actualizadas.<\/p>\n\n\n\n

Para protegerse contra tales amenazas, es crucial mantener los sistemas actualizados con los \u00faltimos parches de seguridad y utilizar herramientas de detecci\u00f3n avanzadas para identificar y mitigar actividades sospechosas en la red. La vigilancia continua y la preparaci\u00f3n para responder a nuevas amenazas son esenciales para proteger los sistemas contra ataques que explotan vulnerabilidades conocidas.<\/p>\n\n\n\n

Reflexi\u00f3n Final<\/h3>\n\n\n\n

La explotaci\u00f3n de CVE-2024-4577 y la aparici\u00f3n de malware como Msupedge destacan un desaf\u00edo persistente en la ciberseguridad: la capacidad de los atacantes para aprovechar vulnerabilidades reci\u00e9n descubiertas y las t\u00e9cnicas avanzadas para evadir la detecci\u00f3n. La coordinaci\u00f3n entre los equipos de seguridad, la actualizaci\u00f3n oportuna de sistemas y la educaci\u00f3n continua en ciberseguridad son fundamentales para enfrentar estas amenazas emergentes.<\/p>\n\n\n\n

La colaboraci\u00f3n entre las comunidades de seguridad, los desarrolladores y las organizaciones afectadas es esencial para mejorar la resiliencia frente a ataques y proteger los sistemas cr\u00edticos contra futuros compromisos.<\/p>\n","protected":false},"excerpt":{"rendered":"

Un reciente informe revela que atacantes desconocidos han utilizado una<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[2377,2380],"tags":[4347,1702,4344,4349,4342,4353,4352,188,4345,4350,1718,589,702,4343,4348,4346,4351],"class_list":["post-1995","post","type-post","status-publish","format-standard","hentry","category-ciberseguridad","category-noticias","tag-ataque-cibernetico","tag-ciberseguridad","tag-cve-2024-4577","tag-dnscat2","tag-exploit-php","tag-explotacion-de-fallas","tag-inyeccion-de-argumentos-php","tag-malware","tag-malware-en-windows","tag-msupedge","tag-puerta-trasera","tag-ransomware","tag-seguridad-informatica","tag-symantec","tag-tunelizacion-dns","tag-vulnerabilidad-php-cgi","tag-vulnerabilidades-de-php"],"_links":{"self":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/1995","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/comments?post=1995"}],"version-history":[{"count":1,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/1995\/revisions"}],"predecessor-version":[{"id":1996,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/1995\/revisions\/1996"}],"wp:attachment":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/media?parent=1995"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/categories?post=1995"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/tags?post=1995"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}