Ataques dirigidos: Kaspersky detecta exploits de día cero en el sistema operativo Windows e Internet Explorer. El actor de APT DarkHotel podría estar detrás de las hazañas.
A finales de la primavera de 2020, las tecnologías de detección automática de Kaspersky impidieron un ataque dirigido a una empresa de Corea del Sur. Al examinar el ataque más de cerca, los investigadores de Kaspersky encontraron dos vulnerabilidades previamente desconocidas: un exploit para ejecutar código extraño en Internet Explorer 11 y un exploit Elevation of Privileges (EoP) para obtener mayores derechos de acceso en las versiones actuales de Windows 10. Parches para ambos Los exploits ya han sido lanzados.
Las vulnerabilidades de día cero son errores de software previamente desconocidos. Hasta que se descubran, los atacantes pueden usarlos silenciosamente para actividades maliciosas y causar daños graves.
Explotar en el sistema operativo Windows
Los investigadores de Kaspersky descubrieron dos vulnerabilidades de día cero mientras investigaban un ataque dirigido en Corea. El primer exploit "use-after-free" para Internet Explorer puede ejecutar de forma remota código extranjero y recibió la designación CVE-2020-1380. Sin embargo, dado que Internet Explorer funciona en un entorno aislado, los atacantes necesitaban derechos adicionales sobre los dispositivos infectados. Recibieron esto a través de un segundo exploit en el sistema operativo Windows. El exploit aprovechó una vulnerabilidad en el servicio de impresión y permitió la ejecución de código arbitrario. El exploit en el sistema operativo se llama CVE-2020-0986.
"Los ataques reales con vulnerabilidades de día cero 'en la naturaleza' siempre atraen mucho interés en la escena de la ciberseguridad", explica Boris Larin, experto en seguridad de Kaspersky. “El descubrimiento exitoso de tales vulnerabilidades ejerce presión sobre los proveedores para que publiquen parches de inmediato y obliga a los usuarios a instalar las actualizaciones necesarias. Lo que es particularmente interesante sobre el ataque descubierto es que las vulnerabilidades anteriores se trataban principalmente de obtener mayores privilegios. Sin embargo, este caso incluye un exploit con capacidades de ejecución remota de código, lo que lo hace más peligroso. Junto con la capacidad de afectar las últimas compilaciones de Windows 10, el ataque detectado es algo realmente raro en estos días. Debería recordarnos invertir en inteligencia de amenazas superior y tecnologías de protección comprobadas para detectar activamente las últimas amenazas de día cero”.
¿Está el grupo DarkHotel detrás de las hazañas de día cero?
Los expertos de Kaspersky sospechan que el grupo DarkHotel podría estar detrás del ataque, ya que el nuevo exploit tiene ciertas similitudes con ataques anteriores realizados por DarkHotel. El Portal de inteligencia sobre amenazas de Kaspersky proporciona información detallada sobre los IoC (indicadores de compromiso) de este grupo, incluidos los hash de archivos y los servidores C&C. Las soluciones de Kaspersky detectan los exploits como PDM:Exploit.Win32.Generic.
El parche para la vulnerabilidad relacionada con los derechos CVE-2020-0986 se lanzó el 9 de junio de 2020, uno para la ejecución de código extranjero (CVE-2020-1380) el 11 de agosto de 2020.
Recomendaciones de seguridad de Kaspersky
- Los parches de Microsoft deben instalarse lo antes posible, ya que los atacantes ya no podrán explotar estas vulnerabilidades descubiertas.
- Los equipos de SOC deben tener acceso a inteligencia de amenazas actualizada. Kaspersky Threat Intelligence Portal puede servir como una ventanilla única. Proporciona una gran cantidad de datos sobre ataques cibernéticos e información que Kaspersky ha acumulado durante más de 20 años.
- Las soluciones de EDR, como Kaspersky Endpoint Detection and Response, ayudan a detectar, investigar y resolver rápidamente los incidentes de los puntos finales.
- Además, las empresas deben utilizar soluciones de seguridad que detecten amenazas complejas en las primeras etapas a nivel de red, como Kaspersky Anti Targeted Attack Platform.
Más información sobre estos exploits recientemente descubiertos está disponible como un informe en inglés.
Más sobre esto en SecureList en Kaspersky.com
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/