Seguridad TI

Vulnerabilidad de “Día cero” fue usada en un ataque dirigido

Al aprovechar esta vulnerabilidad, los atacantes podían obtener mayores privilegios en la máquina afectada y evitar mecanismos de protección en el navegador Google Chrome. La vulnerabilidad recién descubierta fue explotada en la operación maliciosa WizardOpium.

 

Las vulnerabilidades de Día Cero son errores de software que no se conocían y que, si son encontrados primero por los delincuentes, les permiten llevar a cabo sus actividades durante mucho tiempo sin que se les detecte, lo que tiene como consecuencia daños graves e inesperados. Las soluciones regulares de seguridad no identifican la infección del sistema, ni pueden proteger a los usuarios contra una amenaza aún por reconocer.

Los investigadores de Kaspersky encontraron la nueva vulnerabilidad en Windows gracias a otro ataque de Día Cero. En noviembre de 2019, la tecnología de prevención de ataques de Kaspersky, que está integrada en la mayoría de los productos de la compañía, pudo detectar una vulnerabilidad de Día Cero en Google Chrome. Esta vulnerabilidad permitía a los atacantes ejecutar código arbitrario en la máquina de la víctima. Tras una mayor investigación de esta operación, que los expertos llamaron “WizardOpium”, se descubrió otra vulnerabilidad, esta vez en el sistema operativo Windows.

Se supo que el ataque con elevación de privilegios (EoP, por sus siglas en inglés) de Día Cero en Windows que se descubrió recientemente (CVE-2019-1458) estaba incrustado en una vulnerabilidad de Google Chrome previamente descubierta. Se utilizó para obtener mayores privilegios en la máquina infectada, así como para escapar del sandbox de procesos de Chrome, un componente creado para proteger al navegador y a la computadora de la víctima contra ataques maliciosos.

El análisis detallado del ataque EoP mostró que la vulnerabilidad aprovechada pertenece al controlador win32k.sys.

Se podría abusar de la vulnerabilidad en las versiones de parches más recientes de Windows 7 e incluso en algunas versiones de Windows 10 (las nuevas versiones de Windows 10 no se han visto afectadas).

Este tipo de ataque requiere vastos recursos; sin embargo, brinda ventajas significativas a los atacantes y, como podemos ver, están felices de explotarlo. El número de días cero que se propaga libremente continúa creciendo y es poco probable que esta tendencia desaparezca. Las organizaciones deben valerse de la inteligencia más reciente contra amenazas que puedan obtener y contar con tecnologías protectoras aptas para encontrar de manera proactiva las amenazas desconocidas, como son las vulnerabilidades de Día Cero”, comenta Anton Ivanov, experto en seguridad de Kaspersky.

Los productos de Kaspersky detectan esta vulnerabilidad como PDM: Exploit.Win32.Generic.

Se le informó a Microsoft la existencia de esa vulnerabilidad, que fue corregida con un parche el 10 de diciembre de 2019.

Deja un comentario

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>