BitLocker en la mira: ataques sigilosos mediante secuestro de COM. Prueba de concepto en línea.

Redazione RHC : 15 septiembre 2025 08:31

Se ha presentado una herramienta innovadora conocida como BitlockMove, que destaca una novedosa técnica de movimiento lateral. Esta prueba de concepto (PoC) aprovecha las interfaces DCOM y el secuestro de COM, ambos funcionales para BitLocker.

Publicada por el investigador de seguridad Fabian Mosch de r-tec Cyber Security, la herramienta permite a los atacantes ejecutar código en sistemas remotos dentro de la sesión de un usuario que ya ha iniciado sesión, evitando así el robo de credenciales o la suplantación de cuentas.

Esta técnica es particularmente sutil porque el código malicioso se ejecuta directamente en el contexto del usuario objetivo, lo que genera menos indicadores de vulnerabilidad que los métodos tradicionales, como el robo de credenciales de LSASS.

NIS2: diventa pronto alle nuove regole europee La Direttiva NIS2 cambia le regole della cybersecurity in Europa: nuovi obblighi, scadenze serrate e sanzioni pesanti per chi non si adegua.  Essere pronti non è più un’opzione, è una necessità per ogni azienda e infrastruttura critica. Scopri come garantire la compliance e proteggere la tua organizzazione con l’Anteprima Gratuita del Corso NIS2, condotto dall’Avv. Andrea Capelli.  Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta RHC attraverso: L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La prueba de concepto (PoC) se dirige específicamente a la clase BDEUILauncher (CLSID) ab93b6f1-be76-4185-a488-a9001b105b94), que puede iniciar varios procesos. Uno de ellos, BaaUpdate.exe, es vulnerable al secuestro de COM si se inicia con parámetros específicos. La herramienta, escrita en C#, opera en dos modos distintos: enumeración y ataque.

• Modo de enumeración: Un atacante puede usar este modo para identificar sesiones de usuario activas en un host objetivo. Esto permite al atacante seleccionar un usuario con privilegios elevados, como un administrador de dominio, para el ataque.
• Modo de ataque: En este modo, la herramienta ejecuta el ataque. El atacante especifica el host objetivo, el nombre de usuario de la sesión activa, una ruta para eliminar la DLL maliciosa y el comando a ejecutar. A continuación, la herramienta ejecuta el secuestrador COM remoto, activa la carga útil y realiza la limpieza eliminando el secuestrador del registro y la DLL.

Al monitorear patrones de comportamiento específicos, los defensores pueden detectar esta técnica. Los indicadores clave incluyen el secuestro remoto de COM CLSID asociado con BitLocker, que busca cargar una DLL recién creada desde la ubicación comprometida a través de BaaUpdate.exe.

Los procesos secundarios sospechosos generados por BaaUpdate.exe o BdeUISrv.exe son indicadores claros de un posible ataque. Su uso con fines legítimos es poco frecuente, por lo que los expertos en seguridad pueden realizar búsquedas específicas del proceso BdeUISrv.exe para detectar su posible naturaleza maliciosa.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli