MysterySnail se arrastra a través de una vulnerabilidad de día cero

Nuestras tecnologías de seguridad detectaron la explotación de una vulnerabilidad antes desconocida en el controlador Win32k.

Nuestras tecnologías de motor de detección de comportamiento y prevención de exploits recientemente detectaron la explotación de una vulnerabilidad en el controlador kernel Win32k, lo que derivó en una investigación de toda la operación cibercriminal detrás de la explotación. Informamos la vulnerabilidad (CVE-2021-40449) a Microsoft, y la empresa la reparó en una actualización regular liberada el 12 de octubre. Por lo tanto, como es usual después del Martes de parches, recomendamos actualizar Microsoft Windows lo antes posible.

Para qué se utilizó CVE-2021-40449

CVE-2021-40449 es una vulnerabilidad de tipo use-after-free en la función NtGdiResetDC del driver Win32k. Una descripción técnica detallada está disponible en nuestra publicación de Securelist, pero, en resumen, la vulnerabilidad puede resultar en la filtración de direcciones del módulo del kernel en la memoria de la computadora. Entonces, los cibercriminales utilizan la filtración para elevar los privilegios de otros procesos maliciosos.

Mediante esta escalación de privilegios, los atacantes pudieron descargar y lanzar MysterySnail, un troyano de acceso remoto (RAT) mediante el cual los atacantes obtienen acceso al sistema de la víctima.

Qué hace MysterySnail

El troyano comienza por reunir información sobre el sistema infectado y la envía al servidor C&C. Entonces, mediante MysterySnail, los atacantes pueden emitir varios comandos. Por ejemplo, pueden crear, leer, o eliminar un archivo en específico, crear o eliminar un proceso, obtener una lista de directorio, o abrir un canal proxy y enviar datos mediante este.

Las otras funciones de MysterySnail incluyen la capacidad para visualizar la lista de controladores conectados, a fin de monitorear la conexión de los controladores externos en segundo plano, entre otras. El troyano también puede lanzar el shell interactivo cmd.exe (al copiar el archivo cmd.exe a una carpeta temporal con un nombre distinto).

Ataques mediante CVE-2021-40449

La explotación de esta vulnerabilidad cubre una cadena de sistemas operativos en la familia de Microsoft Windows: Vista, 7, 8, 8.1, Servidor 2008, Servidor 2008 R2, Servidor 2012, Servidor 2012 R2, Windows 10 (build 14393), Servidor 2016 (build 14393), 10 (build 17763), y Servidor 2019 (build 17763). De acuerdo con nuestros expertos, el exploit existe específicamente para escalar privilegios en las versiones del servidor del OS.

Después de detectar la amenaza, nuestros expertos establecieron que el exploit y el malware MysterySnail que carga en el sistema han sido ampliamente utilizados en operaciones de espionaje contra empresas de TI, organizaciones diplomáticas, y empresas que trabajan para la industria de la defensa.

Gracias a Kaspersky Threat Attribution Engine, nuestros expertos pudieron encontrar similitudes en el código y funcionalidad de MysterySnail y el malware utilizado por el grupo IronHusky. Además, un grupo APT de idioma chino utilizó algunas de las direcciones del servidor C&C de MysterySnail en 2012.

Si quieres más información sobre el ataque, incluida una descripción detallada del exploit y los indicadores de compromiso, revisa nuestra publicación de Securelist.

Cómo mantenerse seguro

Inicia instalando los parches más recientes de Microsoft, y evita ser víctima de vulnerabilidades de día cero futuras al instalar soluciones de seguridad sólidas que detectan de manera proactiva y detienen la explotación de vulnerabilidades en todas las computadoras con acceso a Internet. Las tecnologías de motor de detección de comportamiento y prevención de exploits, como las de Kaspersky Endpoint Security for Business, detectaron CVE-2021-40449.

Consejos