Una vulnerabilidad de acceso local en Windows, identificada por Trend Micro, ha sido utilizada en una campaña de espionaje que ha durado más de ocho años. A pesar de su gravedad, Microsoft no ha mostrado señales de solucionar el problema, considerándolo de baja prioridad.
El método de ataque es simple pero efectivo: utiliza archivos de acceso directo (.LNK) maliciosos que están diseñados para descargar malware. Estos accesos directos parecen apuntar a archivos o ejecutables legítimos, pero incluyen instrucciones adicionales para obtener o ejecutar cargas maliciosas.
En condiciones normales, los objetivos de los accesos directos y los argumentos de línea de comando serían claramente visibles en Windows, lo que facilitaría detectar comandos dudosos. Sin embargo, la Iniciativa Zero Day de Trend observó que los grupos respaldados por Corea del Norte camuflaban los argumentos, llenándolos con megabytes de espacios en blanco para ocultar las instrucciones reales en la interfaz de usuario.
Trend informó a Microsoft de esta vulnerabilidad en septiembre del año pasado, estimando que se ha estado utilizando desde 2017. La empresa ha encontrado casi 1,000 archivos .LNK alterados en circulación, pero anticipa que el número real de ataques podría ser aún mayor.
Dustin Childs, responsable de la concienciación sobre amenazas en la Iniciativa Zero Day, explicó que «este es solo uno de muchos errores que los atacantes están utilizando, pero este no ha sido parchado, por lo que lo reportamos como una vulnerabilidad de día cero». A pesar de informar a Microsoft, la compañía considera que se trata de un problema de interfaz de usuario y no un riesgo de seguridad, por lo que no cumple con su criterio para recibir un servicio de actualización de seguridad.
Se estima que la mayoría de estos archivos maliciosos provienen de atacantes patrocinados por el estado (alrededor del 70%), utilizados para espionaje o robo de información. Entre los actores respaldados por el estado, el 46% de los ataques provienen de Corea del Norte, mientras que Rusia, Irán y China representan cada uno alrededor del 18% de la actividad.
El informe completo sobre esta vulnerabilidad de acceso directo de Windows está disponible en el sitio web de Trend Micro.
La decisión de hacer público este problema se tomó tras la negativa de Microsoft de considerar el vector de ataque como un riesgo de seguridad. Al hacer clic en un archivo .LNK malicioso, generalmente llevado a un sistema a través de una descarga sospechosa o un adjunto de correo electrónico, se activa código dañino en ese sistema local. Si se combina con una vulnerabilidad de escalada de privilegios, hay pocos límites para la compromisión del sistema.
Childs agregó: «Consideramos que esto es algo de seguridad. Nuevamente, no es algo crítico, pero definitivamente merece atención a través de una actualización de seguridad». Además, sugirió que una posible razón para la resistencia de Microsoft a pulir esta falla podría ser la dificultad técnica para solucionarla; podría ser más complicado de lo que se puede resolver con una simple actualización de seguridad.
Un portavoz de Microsoft reafirmó la postura de la compañía, indicando que la experiencia de usuario descrita no clasifica como un problema de seguridad que requiera atención inmediata, aunque se tomará en cuenta para futuras versiones del sistema operativo. La empresa valoró el trabajo de la Iniciativa Zero Day en la presentación de este informe bajo una divulgación coordinada de vulnerabilidades.
Como buena práctica de seguridad, instaron a los clientes a tener precaución al descargar archivos de fuentes no conocidas y a prestar atención a las advertencias de seguridad, diseñadas para alertar a los usuarios sobre archivos potencialmente dañinos.
