Las tecnologías de detección automatizada de Kaspersky han encontrado una vulnerabilidad de día cero en Windows. El exploit permitió a los atacantes obtener privilegios en la máquina atacada y eludir los mecanismos de protección del navegador Google Chrome. El nuevo exploit fue utilizado en la operación WizardOpium.
Las vulnerabilidades de día cero son errores desconocidos en el software que, si son detectados primero por los cibercriminales, les permiten actuar de forma inadvertida durante mucho tiempo, infligiendo daños graves e inesperados. Las soluciones de seguridad habituales no identifican la infección del sistema ni pueden proteger a los usuarios de una amenaza que aún no se ha reconocido.
La nueva vulnerabilidad de Windows fue encontrada por los investigadores de Kaspersky gracias a otra vulnerabilidad de día cero. En noviembre de 2019, la tecnología de Prevención de Exploits de Kaspersky, integrada en la mayoría de los productos de la compañía, detectó una vulnerabilidad de día cero en Google Chrome. Este exploit permitía a los atacantes ejecutar código arbitrario en el equipo de la víctima. Tras investigar más a fondo esta operación, que los expertos llamaron «WizardOpium», se descubrió otra vulnerabilidad, esta vez en el sistema operativo Windows.
Se descubrió que la nueva vulnerabilidad de día cero de elevación de privilegios (EoP por sus siglas en inglés) de Windows (CVE-2019-1458) estaba incrustada en una vulnerabilidad de Google Chrome detectada anteriormente. Dicha vulnerabilidad se utilizada para obtener mayores privilegios en el equipo infectado, así como para evitar el sandbox de Chrome, un componente creado para proteger tanto el navegador como el equipo de las víctimas frente a ataques maliciosos.
Un análisis detallado del exploit de elevación de privilegios mostró que la vulnerabilidad pertenece al controlador win32k.sys. Se puede aprovechar la vulnerabilidad en las últimas versiones parcheadas de Windows 7 e incluso en algunas versiones de Windows 10 (las nuevas versiones de Windows 10 no se han visto afectadas).
«Este tipo de ataque requiere grandes recursos, sin embargo, proporciona significativas ventajas a los atacantes, que no dudan en explotarlos. El número de vulnerabilidades de día cero en estado “in the wild” sigue creciendo y es poco probable que esta tendencia desaparezca. Las organizaciones necesitan confiar en la información más reciente sobre amenazas disponible y disponer de tecnologías de protección que puedan encontrar de forma proactiva amenazas desconocidas, tales como los exploits de día cero«, apunta Anton Ivanov, experto en seguridad de Kaspersky.
Los productos de Kaspersky detectan esta vulnerabilidad como PDM:Exploit.Win32.Generic.
La vulnerabilidad ha sido reportada a Microsoft y parcheada el 10 de diciembre de 2019.
Para prevenir la instalación de puertas traseras mediante vulnerabilidades de día cero de Windows, Kaspersky recomienda tomar las siguientes medidas de seguridad:
- Instale el parche de Microsoft para la nueva vulnerabilidad lo antes posible. Una vez descargado el parche, los actores de amenazas ya no pueden aprovechar la vulnerabilidad;
- Asegúrese de que todo el software se actualice tan pronto como se publique un nuevo parche de seguridad, si le preocupa la seguridad de toda la organización. Utilice productos de seguridad con capacidades de evaluación de vulnerabilidades y gestión de parches para asegurarse de que estos procesos se ejecuten automáticamente;
- Utilice una solución de seguridad probada con capacidades de detección basadas en el comportamiento para protegerse contra amenazas desconocidas, como Kaspersky Endpoint Security;
- Asegúrese de que su equipo de seguridad tiene acceso a la información más reciente sobre ciberamenazas. Los informes sobre los últimos desarrollos en el panorama de amenazas están disponibles para los clientes de Kaspersky Threat Intelligence. Para más detalles, contactar con: [email protected].