Kaspersky detecta exploits de día cero en Windows 10 e Internet Explorer 11

Mientras investigaban el ataque mencionado, los investigadores de Kaspersky encontraron dos vulnerabilidades de día cero. El primer exploit para Internet Explorer es un Use-After-Free, un tipo de vulnerabilidad que permite la ejecución completa de código a distancia. Este exploit fue denominado como CVE-2020-1380.

Sin embargo, como Internet Explorer funciona en un entorno aislado, los atacantes necesitaban más privilegios en la máquina infectada. Esa es la razón por la que requerían del segundo exploit, encontrado en Windows, y que utilizaba una vulnerabilidad en el servicio de impresión. Permitió a los atacantes ejecutar código arbitrario en la máquina de la víctima. Este exploit de elevación de privilegios (EoP) se referenció como CVE-2020-0986.

"Siempre es una gran noticia para la comunidad de ciberseguridad cuando se identifican ataques con vulnerabilidades de día cero “in the wild”. La detección exitosa de tal vulnerabilidad presiona a los fabricantes para emitir un parche y obliga a los usuarios a instalar todas las actualizaciones necesarias. Un aspecto particularmente interesante en este ataque en concreto es que los exploits que encontramos anteriormente se centraban en la elevación de los privilegios. Sin embargo, este caso incluye un exploit con capacidades de ejecución de código remoto, que es más peligroso. Junto con la capacidad de afectar a las últimas versiones de Windows 10, el ataque descubierto es algo realmente excepcional hoy en día. Nos recuerda una vez más que debemos invertir en tecnologías de inteligencia de amenazas y de protección reconocidas y probadas para poder detectar proactivamente las últimas amenazas de día cero", comenta Boris Larin, experto en seguridad de Kaspersky.

Los expertos de Kaspersky tienen un nivel de confianza bajo en que el ataque pueda atribuirse a DarkHotel, basándose en algunas similitudes entre el nuevo exploit y otros previamente descubiertos que se atribuyen a este actor de amenazas.

Se puede acceder a información detallada sobre los indicadores de compromiso relacionados con este grupo, incluidos los hashes de archivos y los servidores C2, en el Portal de Inteligencia sobre Amenazas de Kaspersky.

Los productos de Kaspersky detectan estos exploits con el veredicto PDM: Exploit.Win32.Generic.

El 9 de junio de 2020 se publicó un parche para la vulnerabilidad de elevación del privilegio CVE-2020-0986.

El 11 de agosto de 2020 se publicó un parche para la vulnerabilidad de ejecución de código remoto CVE-2020-1380.

Kaspersky recomienda tomar las siguientes medidas de seguridad:

• Instalar los parches de Microsoft para las nuevas vulnerabilidades tan pronto como sea posible. Una vez que se descarguen ambos parches, los actores de amenazas ya no podrán hacer uso de la vulnerabilidad.
• Proporcione a su equipo SOC acceso a la última inteligencia sobre amenazas. El Portal de Inteligencia de Amenazas de Kaspersky es un punto de acceso único para las TI corporativas, que proporciona datos de ciberataques y conocimientos recopilados por Kaspersky durante más de 20 años.
• Para la detección a nivel de endpoint, la investigación y la reparación oportuna de los incidentes, implementar soluciones EDR como Kaspersky EndpointDetection and Response
• Además de adoptar una protección esencial de los puntos finales, implemente una solución de seguridad de nivel corporativo que detecte amenazas avanzadas a nivel de red en una etapa temprana, como Kaspersky Anti TargetedAttackPlatform.

Para más detalles sobre los nuevos exploits, acceda al informe completo en Securelist.

Para saber más sobre las tecnologías que detectaron este y otros exploits de día cero en Microsoft Windows, acceda al webinar de Kaspersky.