En abril, los expertos de Kaspersky descubrieron una serie de ataques cibernéticos altamente dirigidos que usaban exploits contra varias empresas que usaban zero-days no descubiertos anteriormente para Google Chrome y Microsoft Windows. El nuevo actor de amenazas PuzzleMaker está en acción.
Kaspersky no ha podido conectarse con actores de amenazas conocidos hasta el momento, por lo que llama a este nuevo actor de amenazas PuzzleMaker. Uno de los exploits se usó para la ejecución remota de código en el navegador web Chrome, el otro se usó para la elevación de privilegios y se centró en las versiones más recientes y populares de Windows 10. Este último explota dos vulnerabilidades en el kernel del sistema operativo Microsoft Windows: la vulnerabilidad CVE-2021-31955 y la vulnerabilidad de elevación de privilegios CVE-2021-31956. Microsoft parcheó ambos ayer por la noche como parte del martes de parches.
Creador de rompecabezas de día cero
En los últimos meses, ha habido una serie de actividades de amenazas avanzadas que explotan los días cero. A mediados de abril, los expertos de Kaspersky descubrieron una nueva ola de ataques de explotación altamente dirigidos contra múltiples empresas, donde los atacantes podían comprometer de forma encubierta las redes objetivo. Todos los ataques se llevaron a cabo a través de Chrome y utilizaron un exploit que permitía la ejecución remota de código.
Los investigadores de Kaspersky no pudieron obtener el código para el exploit de ejecución remota, pero el tiempo y la disponibilidad indican que los atacantes explotaron la vulnerabilidad ahora parcheada CVE-2021-21224. Esto está relacionado con un error de discrepancia de tipos en V8, un motor de JavaScript utilizado por los navegadores web Chrome y Chromium. Esto permitió a los actores de amenazas explotar el proceso de representación de Chrome, que es responsable de lo que sucede dentro de la pestaña de un usuario.
Dos vulnerabilidades en el kernel de Microsoft Windows
Sin embargo, los expertos de Kaspersky pudieron identificar y analizar el segundo exploit. Este es un exploit de elevación de privilegios que explota dos vulnerabilidades en el kernel del sistema operativo Microsoft Windows. La primera es una vulnerabilidad de divulgación de información llamada CVE-2021-31955 que filtra información confidencial del kernel. La vulnerabilidad está relacionada con SuperFetch, una característica introducida por primera vez en Windows Vista que fue diseñada para reducir los tiempos de carga del software mediante la precarga en la memoria de las aplicaciones de uso frecuente.
La segunda es una vulnerabilidad de elevación de privilegios que permite a los atacantes comprometer el kernel y obtener acceso elevado a la computadora. Tiene la designación CVE-2021-31956 y es un desbordamiento de búfer basado en montón. Los atacantes utilizaron la vulnerabilidad CVE-2021-31956 junto con Windows Notification Facility (WNF) para crear primitivos de lectura y escritura arbitrarios en la memoria y ejecutar módulos de malware con privilegios del sistema.
El cuentagotas de malware recarga el módulo de shell remoto
Una vez que los atacantes han utilizado los exploits de Chrome y Windows para afianzarse en el sistema de destino, el módulo de etapa descarga y ejecuta un cuentagotas de malware más complejo desde un servidor remoto. Esto luego instala dos archivos ejecutables disfrazados de archivos legítimos del sistema operativo Microsoft Windows. El segundo de estos dos ejecutables es un módulo de shell remoto capaz de descargar y cargar archivos, crear procesos, estar inactivo durante un período de tiempo específico y borrarse del sistema infectado. Microsoft lanzó un parche para ambas vulnerabilidades de Windows como parte del martes de parches.
Más en Kaspersky.com
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/