Kaspersky encuentra exploits de día cero en Windows e Internet Explorer utilizados en ataque dirigido
12 de agosto de 2020
A finales de la primavera de 2020, las tecnologías de detección automatizada de Kaspersky impidieron un ataque dirigido a una empresa surcoreana. Un análisis más detallado reveló que ese ataque utilizaba una cadena completa previamente desconocida, que consistía en dos exploits de día cero: uno de ejecución de código a distancia para Internet Explorer 11 y el otro de elevación de privilegios (EoP) para Windows. Este último tenía como objetivo las últimas versiones de Windows 10.
Una vulnerabilidad de día cero es un tipo de error de software anteriormente desconocido. Una vez descubierto, permite realizar actividades maliciosas de forma discreta, provocando así daños graves e inesperados.
Mientras investigaban el ataque mencionado anteriormente, los investigadores de Kaspersky pudieron encontrar dos vulnerabilidades de día cero. El primer exploit, para el Internet Explorer, es Use-After-Free, un tipo de vulnerabilidad que puede posibilitar completamente la ejecución de código a distancia. A este exploit se le asignó el nombre CVE-2020-1380.
Sin embargo, como Internet Explorer funciona en un entorno aislado, los atacantes necesitaban más privilegios en el equipo infectado. Por lo tanto, emplearon el segundo exploit, que fue encontrado en Windows y se valía de una vulnerabilidad en el servicio de impresión. El exploit permitía a los atacantes ejecutar código arbitrario en la máquina de la víctima. A este exploit de elevación de privilegios (EoP) se le asignó el nombre CVE-2020-0986.
“Cuando ocurren ataques con vulnerabilidades de Día Zero que se propagan libremente, esto siempre es una noticia importante para la comunidad de la ciberseguridad. Detectar con éxito esa vulnerabilidad presiona inmediatamente a los proveedores a emitir un parche y obliga a los usuarios a instalar todas las actualizaciones necesarias. Lo que es particularmente interesante en el ataque descubierto es que los exploits anteriores que encontramos eran principalmente de elevación de privilegios. Este caso, sin embargo, se incluye un exploit con capacidades de ejecución de código a distancia, lo que resulta más peligroso. Junto con la capacidad de afectar las versiones más recientes de Windows 10, el ataque descubierto es realmente algo raro en la actualidad. Nos recuerda una vez más que debemos invertir en inteligencia prominente contra amenazas y tecnologías de protección probadas a fin de poder detectar de manera proactiva las amenazas de día cero más recientes”, comenta Boris Larin, experto en seguridad de Kaspersky.
Los expertos de Kaspersky tienen un nivel bajo de confianza en que el ataque se puede atribuir a DarkHotel, y se basan para ello en ciertas similitudes que existen entre este nuevo exploit y los exploits previamente descubiertos que se atribuyen a dicho agente de amenazas.
Información detallada sobre los indicadores de riesgo relacionados con este grupo, incluidos los hashes de archivos y los servidores C2, se puede acceder en Kaspersky Threat Intelligence Portal.
Los productos de Kaspersky detectan estas vulnerabilidades con el siguiente veredicto PDM: Exploit.Win32.Generic.
El 9 de junio de 2020 se emitió un parche para la vulnerabilidad de elevación de privilegios CVE-2020-0986.
El 11 de agosto de 2020 se emitió un parche para la vulnerabilidad de ejecución de código a distancia CVE-2020-1380.
Para mantenerse a salvo de esa amenaza, Kaspersky recomienda tomar las siguientes medidas de seguridad:
- Instale los parches de Microsoft para las nuevas vulnerabilidades lo antes posible. Una vez que ambos parches sean instalados, los agentes de amenazas ya no podrán aprovecharse de la vulnerabilidad.
- Proporcione a su equipo de SOC acceso a la inteligencia más reciente contra amenazas (TI, por sus siglas en inglés). Kaspersky Threat Intelligence Portal es un solo punto de acceso para el equipo de TI de la empresa, y proporciona información y datos de ciberataques recopilados por Kaspersky durante más de 20 años.
- Para la detección a nivel de endpoints, la investigación y la reparación oportuna de incidentes, implemente soluciones EDR, como Kaspersky Endpoint Detection and Response.
· Además de adoptar una protección esencial para endpoints, implemente una solución de seguridad de nivel corporativo, como Kaspersky Anti Targeted Attack Platform, que detecte amenazas avanzadas en una etapa temprana al nivel de la red.
Para obtener más detalles sobre los nuevos exploits, consulte el informe completo en Securelist.
Para observar más de cerca las tecnologías que detectaron este y otros días cero en Microsoft Windows, vea la grabación del seminario web de Kaspersky sobre este tema.
Acerca de Kaspersky
Kaspersky es una empresa de ciberseguridad global fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se transforma constantemente en soluciones y servicios de seguridad innovadores para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El amplio portafolio de seguridad de la compañía incluye una protección de endpoints líder y una serie de soluciones y servicios de seguridad especializados para combatir las amenazas digitales más avanzadas y en evolución. Más de 400 millones de usuarios están protegidos por las tecnologías de Kaspersky y ayudamos a 250,000 clientes corporativos a proteger lo que más valoran. Obtenga más información en http://latam.kaspersky.com.