A finales de la primavera de 2020, las tecnologías de detección automatizada de Kaspersky impidieron un ataque dirigido a una empresa surcoreana. Un análisis más detallado reveló que ese ataque utilizaba una cadena completa previamente desconocida, la cual consistía en dos exploits de día cero: uno de ejecución de código a distancia para Internet Explorer 11 y el otro de elevación de privilegios (EoP) para Windows. Este último tenía como objetivo las últimas versiones de Windows 10.
Una vulnerabilidad de día cero es un tipo de error de software anteriormente desconocido. Una vez descubierto, permite realizar actividades maliciosas de forma discreta, provocando así daños graves e inesperados.
Mientras investigaban el ataque mencionado anteriormente, los investigadores de Kaspersky pudieron encontrar dos vulnerabilidades de día cero. El primer exploit para Internet Explorer fue Use-After-Free, un tipo de vulnerabilidad que puede posibilitar completamente la ejecución de código a distancia. A este exploit se le asignó el nombre de CVE-2020-1380.
Sin embargo, como Internet Explorer funciona en un entorno aislado, los atacantes necesitaban más privilegios en el equipo infectado. Por lo tanto, emplearon el segundo exploit, que fue encontrado en Windows y que se valía de una vulnerabilidad en el servicio de impresión. Además, permitía a los atacantes ejecutar código arbitrario en la máquina de la víctima. A este exploit de elevación de privilegios (EoP) se le asignó el nombre de CVE-2020-0986.
“Cuando ocurren ataques con vulnerabilidades de día cero que se propagan libremente, siempre es una noticia importante para la comunidad de la ciberseguridad. Detectar con éxito esa vulnerabilidad presiona inmediatamente a los proveedores a emitir un parche y obliga a los usuarios a instalar todas las actualizaciones necesarias. Lo que es particularmente interesante en el ataque descubierto es que los exploits anteriores que encontramos eran principalmente de elevación de privilegios. Este caso, incluyó un exploit con capacidades de ejecución de código a distancia, lo que resulta más peligroso. Junto con la capacidad de afectar las versiones más recientes de Windows 10, el ataque descubierto es realmente algo raro en la actualidad. Nos recuerda una vez más que debemos invertir en inteligencia prominente contra amenazas y tecnologías de protección probadas a fin de poder detectar de manera proactiva las amenazas de día cero más recientes”, comenta Boris Larin, experto en seguridad de Kaspersky.
¿Quieres saber más acerca de Kaspersky?
Los expertos de Kaspersky tienen un nivel bajo de confianza en que el ataque se pueda atribuir a DarkHotel, basándose para ello en ciertas similitudes que existen entre este nuevo exploit y los exploits previamente descubiertos atribuidos a dicho agente de amenazas.
Información detallada sobre los indicadores de riesgo relacionados con este grupo, incluidos los hashes de archivos y los servidores C2, se puede consultar en Kaspersky Threat Intelligence Portal.
Los productos de Kaspersky detectan estas vulnerabilidades con el siguiente veredicto PDM: Exploit.Win32.Generic.
Para mantenerte a salvo de esta amenaza, Kaspersky recomienda tomar las siguientes medidas de seguridad:
- Instala los parches de Microsoft para las nuevas vulnerabilidades lo antes posible. Una vez que ambos parches sean instalados, los agentes de amenazas ya no podrán aprovecharse de la vulnerabilidad.
- Proporciona a tu equipo de SOC acceso a la inteligencia más reciente contra amenazas (TI, por sus siglas en inglés). Kaspersky Threat Intelligence Portal es un sólo punto de acceso para el equipo de TI de la empresa, además proporciona información y datos de ciberataques recopilados por Kaspersky durante más de 20 años.
- Para la detección a nivel de endpoints, la investigación y la reparación oportuna de incidentes, implementa soluciones EDR, como Kaspersky Endpoint Detection and Response.
- Además de adoptar una protección esencial para endpoints, implementa una solución de seguridad de nivel corporativo, como Kaspersky Anti Targeted Attack Platform, que detecte amenazas avanzadas en una etapa temprana al nivel de la red.