A finales de la primavera de 2020, las tecnologías de detección automatizada de Kaspersky impidieron un ataque dirigido a una empresa surcoreana. Un análisis más detallado reveló que ese ataque utilizaba una cadena completa previamente desconocida, que consistía en dos exploits de día cero: uno de ejecución de código a distancia para Internet Explorer 11 y el otro de elevación de privilegios (EoP) para Windows. Este último tenía como objetivo las últimas versiones de Windows 10.
Una vulnerabilidad de día cero es un tipo de error de software anteriormente desconocido. Una vez descubierto, permite realizar actividades maliciosas de forma discreta, provocando así daños graves e inesperados.
Mientras investigaban el ataque mencionado anteriormente, los investigadores de Kaspersky pudieron encontrar dos vulnerabilidades de día cero. El primer exploit, para el Internet Explorer, es Use-After-Free, un tipo de vulnerabilidad que puede posibilitar completamente la ejecución de código a distancia. A este exploit se le asignó el nombre CVE-2020-1380.
Sin embargo, como Internet Explorer funciona en un entorno aislado, los atacantes necesitaban más privilegios en el equipo infectado. Por lo tanto, emplearon el segundo exploit, que fue encontrado en Windows y se valía de una vulnerabilidad en el servicio de impresión. El exploit permitía a los atacantes ejecutar código arbitrario en la máquina de la víctima. A este exploit de elevación de privilegios (EoP) se le asignó el nombre CVE-2020-0986.
“Cuando ocurren ataques con vulnerabilidades de día dero que se propagan libremente, esto siempre es una noticia importante para la comunidad de la ciberseguridad. Detectar con éxito esa vulnerabilidad presiona inmediatamente a los proveedores a emitir un parche y obliga a los usuarios a instalar todas las actualizaciones necesarias. Lo que es particularmente interesante en el ataque descubierto es que los exploits anteriores que encontramos eran principalmente de elevación de privilegios. Este caso, sin embargo, se incluye un exploit con capacidades de ejecución de código a distancia, lo que resulta más peligroso. Junto con la capacidad de afectar las versiones más recientes de Windows 10, el ataque descubierto es realmente algo raro en la actualidad. Nos recuerda una vez más que debemos invertir en inteligencia prominente contra amenazas y tecnologías de protección probadas a fin de poder detectar de manera proactiva las amenazas de día cero más recientes”, comenta Boris Larin, experto en seguridad de Kaspersky.
Los expertos de Kaspersky tienen un nivel bajo de confianza en que el ataque se puede atribuir a DarkHotel, y se basan para ello en ciertas similitudes que existen entre este nuevo exploit y los exploits previamente descubiertos que se atribuyen a dicho agente de amenazas.
Información detallada sobre los indicadores de riesgo relacionados con este grupo, incluidos los hashes de archivos y los servidores C2, se puede acceder en Kaspersky Threat Intelligence Portal.
Los productos de Kaspersky detectan estas vulnerabilidades con el siguiente veredicto PDM: Exploit.Win32.Generic.
El 9 de junio de 2020 se emitió un parche para la vulnerabilidad de elevación de privilegios CVE-2020-0986.
El 11 de agosto de 2020 se emitió un parche para la vulnerabilidad de ejecución de código a distancia CVE-2020-1380.
Para mantenerse a salvo de esa amenaza, Kaspersky recomienda tomar las siguientes medidas de seguridad:
- Instale los parches de Microsoft para las nuevas vulnerabilidades lo antes posible. Una vez que ambos parches sean instalados, los agentes de amenazas ya no podrán aprovecharse de la vulnerabilidad.
- Proporcione a su equipo de SOC acceso a la inteligencia más reciente contra amenazas (TI, por sus siglas en inglés). Kaspersky Threat Intelligence Portal es un solo punto de acceso para el equipo de TI de la empresa, y proporciona información y datos de ciberataques recopilados por Kaspersky durante más de 20 años.
- Para la detección a nivel de endpoints, la investigación y la reparación oportuna de incidentes, implemente soluciones EDR, como Kaspersky Endpoint Detection and Response.
- Además de adoptar una protección esencial para endpoints, implemente una solución de seguridad de nivel corporativo, como Kaspersky Anti Targeted Attack Platform, que detecte amenazas avanzadas en una etapa temprana al nivel de la red.
Para obtener más detalles sobre los nuevos exploits, consulte el informe completo en Securelist.
Para observar más de cerca las tecnologías que detectaron este y otros días cero en Microsoft Windows, vea la grabación del seminario web de Kaspersky sobre este tema.