BitLocker en la mira: ataques sigilosos mediante secuestro de COM. Prueba de concepto en línea.

Redazione RHC : 15 septiembre 2025 08:31

Se ha presentado una herramienta innovadora conocida como BitlockMove, que destaca una novedosa técnica de movimiento lateral. Esta prueba de concepto (PoC) aprovecha las interfaces DCOM y el secuestro de COM, ambos funcionales para BitLocker.

Publicada por el investigador de seguridad Fabian Mosch de r-tec Cyber Security, la herramienta permite a los atacantes ejecutar código en sistemas remotos dentro de la sesión de un usuario que ya ha iniciado sesión, evitando así el robo de credenciales o la suplantación de cuentas.

Esta técnica es particularmente sutil porque el código malicioso se ejecuta directamente en el contexto del usuario objetivo, lo que genera menos indicadores de vulnerabilidad que los métodos tradicionales, como el robo de credenciales de LSASS.

La prueba de concepto (PoC) se dirige específicamente a la clase BDEUILauncher (CLSID) ab93b6f1-be76-4185-a488-a9001b105b94), que puede iniciar varios procesos. Uno de ellos, BaaUpdate.exe, es vulnerable al secuestro de COM si se inicia con parámetros específicos. La herramienta, escrita en C#, opera en dos modos distintos: enumeración y ataque.

• Modo de enumeración: Un atacante puede usar este modo para identificar sesiones de usuario activas en un host objetivo. Esto permite al atacante seleccionar un usuario con privilegios elevados, como un administrador de dominio, para el ataque.
• Modo de ataque: En este modo, la herramienta ejecuta el ataque. El atacante especifica el host objetivo, el nombre de usuario de la sesión activa, una ruta para eliminar la DLL maliciosa y el comando a ejecutar. A continuación, la herramienta ejecuta el secuestrador COM remoto, activa la carga útil y realiza la limpieza eliminando el secuestrador del registro y la DLL.

Al monitorear patrones de comportamiento específicos, los defensores pueden detectar esta técnica. Los indicadores clave incluyen el secuestro remoto de COM CLSID asociado con BitLocker, que busca cargar una DLL recién creada desde la ubicación comprometida a través de BaaUpdate.exe.

Los procesos secundarios sospechosos generados por BaaUpdate.exe o BdeUISrv.exe son indicadores claros de un posible ataque. Su uso con fines legítimos es poco frecuente, por lo que los expertos en seguridad pueden realizar búsquedas específicas del proceso BdeUISrv.exe para detectar su posible naturaleza maliciosa.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli