Un presunto actor de amenaza ha enumerado una explotación de ejecución de código remoto (RCE) de Windows cero (RCE) para la venta, afirmando que se dirige a los sistemas Windows 10, Windows 11 y Windows Server 2022 de Windows 1022.
La publicación reportada por amenazmon anuncia el código de exploit armado supuestamente capaz de otorgar privilegios a nivel del sistema sin autenticación previa o interacción del usuario, evitando los controles intrínsecos de seguridad de Windows, como la aleatorización del diseño del espacio de direcciones (ASLR), la prevención de la ejecución de datos (DEP) y la protección de flujo de control (CFG).
El vendedor enfatiza las capacidades técnicas del exploit, ofreciendo ejecución de código de nivel de núcleo y escalada de privilegio directamente al sistema, una preocupación crítica tanto para los sistemas empresariales como individuales.
Control de llave
1. $ 125k Windows RCE Exploit Targets Patched Win10/11/Server2022 con privilegios del sistema.
2. Onpases ASLR/DEP/CFG, evade la detección AV/EDR.
3. Un ataque basado en la red no requiere interacción del usuario.
El anuncio afirma que la exploit no es detectada por las principales soluciones de detección y respuesta de punto final y respuesta (EDR), con un perfil sigiloso con “sin firmas detectadas”.
Con una supuesta tasa de éxito superior al 95%, la confiabilidad del exploit hace que sea excepcionalmente atractivo para los grupos avanzados de amenaza persistente (APT) y operadores de ransomware.
Actor de amenaza que vende el exploit de Windows Zero-Day (RCE)
Detalles técnicos de exploit de RCE de día cero
El exploit está diseñado para la ejecución de código remoto (RCE) a través de un vector de ataque basado en la red, eliminando la necesidad de cualquier interacción del usuario.
Esta táctica se alinea con las categorías más peligrosas de vulnerabilidades, especialmente aquellas que facilitan la explotación de la “superficie de ataque remoto no autenticado”.
La capacidad del exploit para elevar los privilegios, típicamente de un usuario estándar a otro, el nivel de permiso de Windows más alto. Además, la interacción directa y la manipulación del kernel de Windows omiten las restricciones típicas del modo de usuario.
Los detalles de la subasta revelan un precio de venta de USD 125,000, con el pago preferido a través de la criptomoneda (BTC/XMR), lo que refleja la alta demanda del mercado de un código de explotación robusto e indetectable.
Las condiciones de venta enfatizan la exclusividad, que prohíbe la reventa a menos que se negocie explícitamente, lo cual es típico para las exploits premium.
Las organizaciones que enfrentan los paisajes de amenazas elevados deberían reforzar el monitoreo de la actividad anómala de nivel de núcleo, hacer cumplir la gestión oportuna de parches y desplegar herramientas avanzadas de inteligencia de amenazas capaces de detectar intentos de explotación de día cero.
El incidente subraya los riesgos persistentes asociados con las vulnerabilidades no reportadas y la evolución continua de los mercados de delitos cibernéticos.
Se recomienda mantenerse informado de los alimentos emergentes de inteligencia de amenazas, aplicar mitigaciones disponibles e informar actividades sospechosas asociadas con vulnerabilidades de día cero a las autoridades y proveedores relevantes.
Detonar de forma segura archivos sospechosos para descubrir amenazas, enriquecer sus investigaciones y reducir el tiempo de respuesta de incidentes. Comience con una prueba de Sandbox Anyrun →
.webp?w=1600&resize=1600,900&ssl=1){kind=link}