Vulnerabilidad detectada en el Kernel Transaction Manager

19 Dic 2018

Los ciberdelincuentes continúan poniendo a prueba Windows y nuestras tecnologías de protección siguen detectando sus trucos y previniendo que usen vulnerabilidades. No es ni el primer ni el segundo descubrimiento de este tipo que se ha dado en los últimos tres meses. Esta vez, nuestros sistemas han detectado un intento de aprovechar una vulnerabilidad en el Windows Kernel Transaction Manager.

El nuevo exploit de día cero se utilizó contra varias víctimas de Medio Oriente y Asia. La vulnerabilidad de la que se aprovechaba, CVE-2018-8611, permitió una elevación de privilegios en los casos en los que el kernel de Windows falla al gestionar adecuadamente los objetos de la memoria. Como resultado, los maleantes pueden ejecutar código arbitrario en modo kernel.

En la práctica, esto significa que los malos pueden instalar programas, cambiar o ver datos o, incluso, crear cuentas nuevas. Según nuestros expertos, el exploit también puede usarse para salir de un entorno aislado mediante navegadores web, incluidos Chrome y Edge. Para ver los detalles técnicos, visita nuestra publicación de Securelist. Disponemos de más información sobre la vulnerabilidad CVE-2018-8611 y los actores que intentaron hacer uso de la misma para los usuarios de Kaspersky Intelligence Reports; contacto en intelreports@kaspersky.com.

Nuestros expertos informaron de esta vulnerabilidad a los desarrolladores y Microsoft ha lanzado un parche que corrige el modo en que el kernel de Windows gestiona los objetos de la memoria.

Cómo protegerse

De nuevo, estos son nuestros consejos habituales para prevenir las vulnerabilidades:

  • No creas que estás a salvo porque el exploit ha cobrado pocas víctimas hasta el momento. Desde su descubrimiento puede que haya más ciberdelincuentes que intenten emplearlo, por lo que  debes instalar el parche de inmediato.
  • Actualiza con regularidad el software que utiliza tu compañía.
  • Usa productos de seguridad con gestión automatizada de vulnerabilidades y capacidad de gestión de parches.
  • Utiliza una solución de seguridad que sea capaz de detectar el comportamiento para una protección efectiva contra amenazas desconocidas, incluidos los exploits de día cero.

No olvides que, antes de que nuestras tecnologías de protección encontraran el exploit, esta vulnerabilidad no era conocida. Por lo tanto, podemos recomendarte productos en concreto que te ayudarán a protegerte. El primero es nuestra solución específica que protege contra amenazas persistentes avanzadas: Kaspersky Anti Targeted Attack Platform, el cual cuenta con aislamientos avanzados de procesos y un motor antimalware. El segundo es Kaspersky Endpoint Security for Business, el cual cuenta con una tecnología integrada de prevención automática de exploits, la misma que detectó la vulnerabilidad CVE-2018-8611.