Los piratas informáticos buscan constantemente la manera de atacar y lograr sus objetivos. Son los usuarios de sistemas operativos y plataformas más utilizados los que pueden verse más perjudicados. En este artículo nos hacemos eco de una nueva técnica que se basa en el escritorio remoto de Windows 10 para desplegar sus ataques y poner en riesgo la seguridad de las víctimas. De esta forma podrían ejecutar código malicioso.
Nueva técnica de ataque que usa el escritorio remoto
Esta nueva técnica que se basa en el escritorio remoto de Windows permitiría ejecutar código malicioso haciendo uso de la carga lateral DLL. De esta forma lograría evitar los controles de seguridad.
Un grupo de investigadores de seguridad de Cymulate ha descubierto esta nueva técnica de evasión de los controles de seguridad. Esta nueva técnica, como hemos indicado, se aprovecha del servicio de escritorio remoto que hay disponible en el que es hoy en día el sistema operativo más utilizado en equipos de escritorio.
Este equipo de seguridad estaba trabajando en investigar el escritorio remoto cuando descubrieron esta técnica. Uno de los puntos más importantes es que podría utilizarse para saltarse los controles de seguridad. Eso sí, al menos los investigadores no tienen constancia de que se haya utilizado esta técnica para llevar a cabo ataques.
¿Cómo funciona esa carga lateral DLL? Esto podría ocurrir cuando los programas especifican de manera incorrecta una DLL requerida. Esto daría como resultado que puedan estar abiertos a una vulnerabilidad en la que se carga una DLL no deseada en el programa.
Por tanto los atacantes pueden aprovechar los programas legítimos vulnerables a la carga lateral para cargar una DLL maliciosa y ocultar así cualquier acción maliciosa que tomen bajo la apariencia de un sistema o proceso fiable y legítimo.
Podrían saltarse los controles de seguridad
Según explican los investigadores, un posible atacante podría acceder a mstscax.dll y esto le permitiría pasar los controles de seguridad. Ese atacante podría reemplazar la DLL mstscax.dll dentro de la carpeta system32, que necesita privilegios de administrador, así como poder copiar mstsc.exe en una carpeta externa y colocar la DLL en esa misma carpeta y ejecutarlo. En este último caso no requeriría de privilegios de administrador.
En estas dos opciones que hemos mencionado un atacante lograría eludir las medidas de seguridad, ya que el código malicioso se ejecutaría en el contexto mstsc.exe, que es un archivo ejecutable en el que Microsoft confía. Tendrían por tanto vía libre a ejecutar código malicioso.
Al tiempo de escribir este artículo, y según indican los investigadores de seguridad, no existe parche de Microsoft para resolver este problema. Sin embargo los usuarios que así lo deseen podrán deshabilitar el uso de mstsc.exe. Eso mitigaría el problema.
En definitiva, estamos ante un problema de seguridad que afecta al escritorio remoto de Microsoft. Como siempre decimos es importante mantener los sistemas actualizados. Normalmente este tipo de problemas son parcheados y los propios desarrolladores lanzan actualizaciones de seguridad que debemos mantener.
Os dejamos un artículo con algunos consejos sobre cómo mejorar la seguridad en Windows Defender.