Bajo la mira: una vulnerabilidad de día cero en Chrome

5 Nov 2019

Gracias al subsistema Exploit Prevention (prevención de vulnerabilidades) de Kaspersky, recientemente hemos identificado un exploit; es decir, un programa malicioso que le permite a los atacantes acceso no autorizado a la computadora a través de una vulnerabilidad en el navegador Google Chrome. Esta se vale de una vulnerabilidad de día cero; es decir, una que en ese momento desconocían los desarrolladores. Se le dio el nombre CVE-2019-13720.

Notificamos la vulnerabilidad a Google, que ya la arregló en la actualización de Chrome más reciente. A continuación, te contamos cómo tiene lugar el ataque que utiliza esta vulnerabilidad.

WizardOpium: Malas noticias desde Corea

Los ataques, que hemos denominado Operación WizardOpium, comenzaron en un portal de noticias coreano, donde los atacantes inyectaron código malicioso. Esta carga un script de un sitio de terceros que primero verifica si es viable infectar el sistema y qué navegador usa la víctima (a los cibercriminales les interesa el navegador Chrome para Windows, en la versión 65 o posterior).

Si el sistema operativo y el navegador cumplen con los requisitos, el script descarga los exploits por fragmentos, después los ensambla y los descifra. Y lo primero que hace este exploit es verificar la versión de Chrome. En esta etapa, se vuelve más selectivo y funciona exclusivamente con Chrome 76 o 77. Quizás las herramientas del cibercriminal incluyen otros exploits para las diferentes versiones del navegador, pero no lo sabemos a ciencia cierta.

Tras encontrar lo que busca, el exploit intenta aprovechar la vulnerabilidad CVE-2019-13720, de tipo use-after-free, la cual se basa en el uso inapropiado de la memoria de la computadora. Al manipular la memoria, el exploit obtiene permiso para leer y escribir datos en el dispositivo, los cuales usa inmediatamente para descargar, descifrar y ejecutar el malware. Este último puede variar según el usuario.

Los productos de Kaspersky Lab detectan el exploit arrojando el dictamen Exploit.Win32.Generic. Si deseas conocer información más técnica, lee esta publicación en Securelist.

Actualiza Chrome

Aunque no leas portales de noticias coreanos, te recomendamos que actualices de inmediato Chrome a la versión 78.0.3904.87. Existe ya un exploit que usa esa vulnerabilidad, lo cual significa que otras pueden seguirle. Es probable que esto suceda tan pronto se publique la información sobre la vulnerabilidad.

Google ha lanzado una actualización de Chrome para Windows, macOS y Linux. Chrome se actualiza automáticamente, así que debería bastar con reiniciar el navegador.

Verifica que la actualización se haya instalado, para despejar toda duda. Para esto, haz clic en los tres puntos en la esquina superior del navegador (“Personaliza y controla Google Chrome”), y selecciona Ayuda → Información de Google Chrome. Si el número ves es 78.0.3904.87 o posterior, todo está en orden. Si no, entonces Chrome empezará a buscar actualizaciones e instalarlas (verás un círculo girando en el lado izquierdo), y luego de unos segundos la versión más reciente aparecerá en la pantalla: haz clic en Reiniciar.