Kaspersky descubre vulnerabilidades de día cero en Google Chrome y Microsoft Window

Kaspersky descubre vulnerabilidades de día cero en Google Chrome y Microsoft Window

Una vulnerabilidad de día cero es un tipo de error de software anteriormente desconocido. Una vez descubierto, permite realizar actividades maliciosas de forma discreta, provocando así daños graves e inesperados.

Los últimos meses han visto una ola de actividad de amenazas avanzadas que se aprovechan de los días cero que se encuentran propagándose sin control. A mediados de abril, los expertos de Kaspersky descubrieron una nueva ola de ataques altamente dirigidos contra varias empresas que permitieron a los atacantes comprometer sigilosamente las redes que eran su objetivo.

Kaspersky aún no ha encontrado ninguna conexión entre estos ataques y los agentes de amenazas conocidos. Por eso, han apodado a este agente PuzzleMaker.

Todos los ataques se llevaron a cabo a través de Chrome y utilizaron una vulnerabilidad que permitía la ejecución a distancia del código. Aunque los investigadores de Kaspersky no pudieron recuperar el código para el exploit de ejecución a distancia, la cronología y la disponibilidad sugieren que los atacantes estaban usando la vulnerabilidad CVE-2021-21224 que ahora ha sido arreglada. Esta vulnerabilidad estaba relacionada con un error de tipo no coincidente en el V8, un motor de JavaScript utilizado por los navegadores web Chrome y Chromium. La vulnerabilidad permite a los atacantes explotar el proceso de reproducción de Chrome (los procesos que son responsables de lo que sucede dentro de la lengüeta de los usuarios).

Sin embargo, los expertos de Kaspersky pudieron encontrar y analizar la segunda vulnerabilidad: un exploit de elevación de privilegios que aprovecha dos vulnerabilidades distintas en el núcleo del sistema operativo Microsoft Windows. La primera es una vulnerabilidad de divulgación de información (una vulnerabilidad que filtra información confidencial del núcleo), conocida como CVE-2021-31955. Específicamente, esa vulnerabilidad está relacionada con SuperFetch, una característica introducida por primera vez en Windows Vista que tiene como objetivo reducir los tiempos de carga de software mediante la precarga de aplicaciones de uso común en la memoria.

La segunda vulnerabilidad, una vulnerabilidad de elevación de privilegios (una vulnerabilidad que permite a los atacantes explotar el núcleo y obtener acceso a la computadora), se le asigna el nombre CVE-2021-31956 y es un heap-based buffer overflow (un tipo de desbordamiento del buffer de una computadora en el Montículo de datos). Los atacantes utilizaron la vulnerabilidad CVE-2021-31956 junto con la función de notificación de Windows (WNF) para crear primitivas de lectura/escritura de memoria arbitrarias y ejecutar módulos de malware con privilegios en el sistema.

Una vez que los atacantes han utilizado tanto los exploits de Chrome como los de Windows para establecerse en el sistema que tienen como objetivo, el módulo de transición descarga y ejecuta un dropper o gotero de malware más complejo desde un servidor remoto. Este gotero instala entonces dos ejecutables que pretenden ser archivos legítimos pertenecientes al sistema operativo Microsoft Windows. El segundo de estos dos ejecutables es un módulo de shell remoto que puede descargar y cargar archivos, crear procesos, dormir durante ciertos períodos de tiempo y borrarse a sí mismo del sistema infectado.

Los productos de Kaspersky detectan y protegen contra los exploits de las vulnerabilidades anteriores y los módulos de malware relacionados con ellas.

Share via