Operación PowerFall: dos vulnerabilidades de día cero

Nuestras tecnologías evitaron un ataque. El análisis de expertos reveló que dos vulnerabilidades previamente desconocidas se vieron aprovechadas. He aquí lo que debes saber.

Recientemente, nuestras tecnologías evitaron un ataque contra una empresa surcoreana. Eso es asunto de todos los días, podrías decir; pero al analizar las herramientas de los cibercriminales, nuestros expertos identificaron dos vulnerabilidades de día cero. Encontraron la primera en el motor de Javascript de Internet Explorer 11. Esto permitió que los atacantes ejecutaran código arbitrario a distancia. La segunda se detectó en un servicio del sistema operativo, la cual dejó a los atacantes escalar sus privilegios y realizar acciones no autorizadas.

Los exploits de estas vulnerabilidades operaron conjuntamente. Primero, le entregaron sigilosamente a la víctima un script malicioso que un agujero en Internet Explorer 11 permitió ejecutar; y entonces un defecto en el servicio del sistema extendió aún más los privilegios del proceso malicioso. En consecuencia, los atacantes pudieron tomar el control del sistema. Su meta era comprometer las computadoras de varios empleados y penetrar la red interna de la organización.

Nuestros expertos han nombrado a esta campaña maliciosa Operación PowerFall. Actualmente, los investigadores no han identificado ningún nexo irrefutable entre esta campaña y actores conocidos. No obstante, a juzgar por la similitud entre ambos exploits, no han descartado la participación de DarkHotel.

Cuando nuestros investigadores informaron a Microsoft de sus hallazgos, la empresa declaró ya estar al tanto de la segunda vulnerabilidad (en el servicio del sistema) e incluso había elaborado un parche para ella. Pero solo hasta que nosotros les informamos sobre la primera vulnerabilidad (en IE11), ellos consideraban improbable que se viera aprovechada.

¿Cuán peligroso es CVE-2020-1380?

La primera vulnerabilidad está en la biblioteca jscript9.dll, cuya totalidad de las versiones Internet Explorer usa por defecto desde IE9. Es decir, el exploit para esta vulnerabilidad es peligroso para las versiones modernas del navegador. (“Moderno” es quizás un adjetivo algo inexacto, ya que Microsoft ha dejado de desarrollar Internet Explorer después del lanzamiento de Edge, con Windows 10). Pero junto con Edge, Internet Explorer todavía se encuentra instalado por defecto en el Windows más reciente y sigue siendo un componente importante del sistema operativo.

Y si bien no usas IE por tu voluntad, y no es tu navegador por defecto, eso no significa que tu sistema no se pueda infectar mediante un exploit de IE; incluso algunas aplicaciones lo utilizan de vez en cuando. Por ejemplo, Microsoft Office utiliza IE para mostrar contenido en video en los documentos. Los cibercriminales también pueden aprovechar Internet Explorer  mediante otras vulnerabilidades.

CVE-2020-1380 pertenece a la clase Use-After-Free (UAF), una vulnerabilidad que aprovecha el uso incorrecto de la memoria dinámica. Puedes leer una minuciosa descripción técnica del exploit con los indicadores de compromiso en la publicación “Internet Explorer 11 and Windows 0-day exploits full chain used in Operation PowerFall” (en inglés) en el sitio web de Securelist.

Cómo debes protegerte

Microsoft lanzó un parche para CVE-2020-0986 (en el kernel de Windows) el 9 de junio de 2020. La segunda vulnerabilidad CVE-2020-1380, recibió un parche el 11 de agosto. Si actualizas tus sistemas operativos periódicamente, éstos ya deberían estar protegidos contra los ataques similares a la Operación PowerFall.

Sin embargo, las vulnerabilidades de día cero emergen todo el tiempo. Para mantener tu empresa a salvo, necesitas una solución con tecnologías antiexploits, como Kaspersky Security for Business. Uno de sus componentes, el subsistema Exploit Prevention, identifica los intentos de aprovechamiento de las vulnerabilidades de día cero.

Además, recomendamos usar los navegadores modernos que reciben actualizaciones regulares de seguridad.

Consejos