Kaspersky encuentra en Windows vulnerabilidad de “Día cero” que fue usada en un ataque dirigido

Las tecnologías de detección automatizadas de Kaspersky han encontrado una vulnerabilidad de Día Cero en Windows. Al aprovechar esta vulnerabilidad, los atacantes podían obtener mayores privilegios en la máquina afectada y evitar mecanismos de protección en el navegador Google Chrome. La vulnerabilidad recién descubierta fue explotada en la operación maliciosa WizardOpium.

0
24

Las vulnerabilidades de Día Cero son errores de software que no se conocían y que, si son encontrados primero por los delincuentes, les permiten llevar a cabo sus actividades durante mucho tiempo sin que se les detecte, lo que tiene como consecuencia daños graves e inesperados. Las soluciones regulares de seguridad no identifican la infección del sistema, ni pueden proteger a los usuarios contra una amenaza aún por reconocer.

Los investigadores de Kaspersky encontraron la nueva vulnerabilidad en Windows gracias a otro ataque de Día Cero. En noviembre de 2019, la tecnología de prevención de ataques de Kaspersky, que está integrada en la mayoría de los productos de la compañía, pudo detectar una vulnerabilidad de Día Cero en Google Chrome. Esta vulnerabilidad permitía a los atacantes ejecutar código arbitrario en la máquina de la víctima. Tras una mayor investigación de esta operación, que los expertos llamaron «WizardOpium», se descubrió otra vulnerabilidad, esta vez en el sistema operativo Windows.

Se supo que el ataque con elevación de privilegios (EoP, por sus siglas en inglés) de Día Cero en Windows que se descubrió recientemente (CVE-2019-1458) estaba incrustado en una vulnerabilidad de Google Chrome previamente descubierta. Se utilizó para obtener mayores privilegios en la máquina infectada, así como para escapar del sandbox de procesos de Chrome, un componente creado para proteger al navegador y a la computadora de la víctima contra ataques maliciosos.

El análisis detallado del ataque EoP mostró que la vulnerabilidad aprovechada pertenece al controlador win32k.sys. Se podría abusar de la vulnerabilidad en las versiones de parches más recientes de Windows 7 e incluso en algunas versiones de Windows 10 (las nuevas versiones de Windows 10 no se han visto afectadas).

“Este tipo de ataque requiere vastos recursos; sin embargo, brinda ventajas significativas a los atacantes y, como podemos ver, están felices de explotarlo. El número de días cero que se propaga libremente continúa creciendo y es poco probable que esta tendencia desaparezca. Las organizaciones deben valerse de la inteligencia más reciente contra amenazas que puedan obtener y contar con tecnologías protectoras aptas para encontrar de manera proactiva las amenazas desconocidas, como son las vulnerabilidades de Día Cero”, comenta Anton Ivanov, experto en seguridad de Kaspersky.

Los productos de Kaspersky detectan esta vulnerabilidad como PDM: Exploit.Win32.Generic.

Se le informó a Microsoft la existencia de esa vulnerabilidad, que fue corregida con un parche el 10 de diciembre de 2019.

Para evitar la instalación de puertas traseras que aprovechen una vulnerabilidad de Día Cero en Windows, Kaspersky recomienda tomar las siguientes medidas de seguridad:

  • Instalar el parche de Microsoft para la nueva vulnerabilidad lo antes posible. Una vez que se descargue el parche, los agentes de amenazas ya no pueden abusar de la vulnerabilidad;
  • Asegurarse de actualizar todo el software tan pronto como sea anunciado un nuevo parche de seguridad si le preocupa la seguridad de toda su organización. Utilizar productos de seguridad que puedan evaluar vulnerabilidades y administrar parches para asegurarse de que estos procesos se ejecuten automáticamente;
  • Usar una solución de seguridad probada, como Kaspersky Endpoint Security, que está equipada con capacidades de detección basadas en el comportamiento para proteger contra amenazas desconocidas;
  • Asegurarse de que su equipo de seguridad tenga acceso a la inteligencia más reciente contra amenazas cibernéticas. Los clientes de Kaspersky Threat Intelligence tienen la posibilidad de obtener informes privados sobre los últimos acontecimientos en el panorama de las amenazas Para más detalles, contacte: intelreports@kaspersky.com;
  • Usar la tecnología sandbox para analizar objetos sospechosos. El acceso básico a Kaspersky Cloud Sandbox está disponible en https://opentip.kaspersky.com/.

Para más detalles sobre la nueva vulnerabilidad, vea el informe completo en Securelist.

Si desea más detalles sobre las tecnologías que detectaron esta y otras vulnerabilidades de Día Cero en Microsoft Windows, hay un seminario en la web de Kaspersky que puede verse on demand.

Fuente: Kaspersky