[CA7389] Mitigación a infiltraciones en el Escudo contra ransomware

ESET Customer Advisory 2020-0002

21 de enero de 2020

Gravedad: Media

Resumen

ESET fue alertado acerca de una posible vulneración de la funcionalidad Escudo contra ransomware presente en sus productos para Windows para hogar, empresas y servidores. ESET identificó el método subyacente utilizado para administrar este ataque y preparó las actualizaciones, que son descargadas por los productos afectados de manera automática.

Detalles y solución

ESET recibió un reporte con un código de prueba de concepto adjunto afirmando que en un equipo con un producto ESET instalado y el Escudo contra ransomware activado, fue posible para un atacante evadir la función estándar API EncryptFile de Windows para cifrar maliciosamente los archivos del usuario.

ESET solventó la situación preparando una versión actualizada del módulo HIPS (1380.2 y posterior) que contiene la funcionalidad de Escudo contra ransomware para la versión 13 de los productos ESET para hogar, junto con una actualización del motor de detecciones para todos los productos afectados que bloquea los archivos maliciosos empleados para administrar este ataque. Una actualización independiente del módulo HIPS para productos corporativos, para servidores y para versiones previas de las soluciones hogareñas será lanzada para incorporar los cambios en toda la línea de producto.

Luego de ser lanzados, los respectivos módulos se actualizarán automáticamente y no será necesaria la intervención del usuario. Entretanto, nuestros clientes podrían valerse de una de las siguientes dos acciones para proteger sus sistemas ante esta vulnerabilidad:

  1. Crear una regla de HIPS para que se solicite permiso cada vez que un proceso desee realizar un cambio en  %PROGRAMDATA%\Microsoft\Crypto\RSA\MachineKeys*.

  2. Evite que la vulnerabilidad resulte funcional deshabilitando la función Encrypting File System en Windows (recomendado si no se utiliza frecuentemente). Para hacerlo, ejecute fsutil behavior set disableencryption 1 desde el símbolo del sistema (Administrador) o diríjase a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem en el Editor de registros y cambie el valor NtfsDisableEncryption a1.

Programas y versiones afectadas

  • ESET NOD32 Antivirus, ESET Internet Security, ESET Smart Security y ESET Smart Security Premium 10 o superior
  • ESET Endpoint Antivirus y ESET Endpoint Security 7 o superior
  • Productos de seguridad ESET para servidores en la versión 6.6 o superior

Soporte y comentarios

Si persiste alguna duda o desea consultarnos acerca de este suceso, por favor contáctenos a través del Foro de seguridad de ESET o mediante nuestro Formulario de contacto.

Reconocimiento

ESET considera muy valiosos los principios de divulgación responsable dentro de la industria de seguridad y quisiera expresar su agradecimiento a SafeBreach, que ha reportado el inconveniente.

Asistencia adicional