En abril, descubrimos una serie de ataques dirigidos contra varias empresas que utilizaban una cadena de vulnerabilidades de d\u00eda cero en Google Chrome y Microsoft Windows que no se hab\u00edan descubierto previamente. Una de las vulnerabilidades se utiliz\u00f3 para la ejecuci\u00f3n de c\u00f3digo a distancia en el navegador web Chrome, mientras que la otra fue un exploit de elevaci\u00f3n de privilegios ajustado para dirigirlo a las versiones m\u00e1s recientes y destacadas de Windows 10. Este \u00faltimo aprovecha dos vulnerabilidades existentes en el n\u00facleo del sistema operativo de Microsoft Windows: la vulnerabilidad de divulgaci\u00f3n de informaci\u00f3n CVE-2021-31955 y la vulnerabilidad de elevaci\u00f3n de privilegios CVE-2021-31956. Microsoft hoy ha parchado a ambos como parte del \u201cMartes de parches\u201d.<\/p>\n
Una vulnerabilidad de d\u00eda cero es un tipo de error de software anteriormente desconocido. Una vez descubierto, permite realizar actividades maliciosas de forma discreta, provocando as\u00ed da\u00f1os graves e inesperados.<\/p>\n
Los \u00faltimos meses han visto una ola<\/a> de actividad de amenazas avanzadas que se aprovechan de los d\u00edas cero que se encuentran propag\u00e1ndose sin control. A mediados de abril, nuestros expertos descubrieron una nueva ola de ataques altamente dirigidos contra varias empresas que permitieron a los atacantes comprometer sigilosamente las redes que eran su objetivo.<\/p>\n A\u00fan no hemos encontrado ninguna conexi\u00f3n entre estos ataques y los agentes de amenazas conocidos. Por eso, hemos apodado a este agente PuzzleMaker.<\/p>\n Todos los ataques se llevaron a cabo a trav\u00e9s de Chrome y utilizaron una vulnerabilidad que permit\u00eda la ejecuci\u00f3n a distancia del c\u00f3digo. Aunque nuestros investigadores no pudieron recuperar el c\u00f3digo para el exploit de ejecuci\u00f3n a distancia, la cronolog\u00eda y la disponibilidad sugieren que los atacantes estaban usando la vulnerabilidad CVE-2021-21224 que ahora ha sido arreglada. Esta vulnerabilidad estaba relacionada con un error de tipo no coincidente en el V8, un motor de JavaScript utilizado por los navegadores web Chrome y Chromium. La vulnerabilidad permite a los atacantes explotar el proceso de reproducci\u00f3n de Chrome (los procesos que son responsables de lo que sucede dentro de la leng\u00fceta de los usuarios).<\/p>\n Sin embargo, los expertos pudieron encontrar y analizar la segunda vulnerabilidad: un exploit de elevaci\u00f3n de privilegios que aprovecha dos vulnerabilidades distintas en el n\u00facleo del sistema operativo Microsoft Windows. La primera es una vulnerabilidad de divulgaci\u00f3n de informaci\u00f3n (una vulnerabilidad que filtra informaci\u00f3n confidencial del n\u00facleo), conocida como CVE-2021-31955. Espec\u00edficamente, esa vulnerabilidad est\u00e1 relacionada con SuperFetch, una caracter\u00edstica introducida por primera vez en Windows Vista que tiene como objetivo reducir los tiempos de carga de software mediante la precarga de aplicaciones de uso com\u00fan en la memoria.<\/p>\n La segunda vulnerabilidad, una vulnerabilidad de elevaci\u00f3n de privilegios (una vulnerabilidad que permite a los atacantes explotar el n\u00facleo y obtener acceso a la computadora), se le asigna el nombre CVE-2021-31956 y es un h<\/em>eap-based buffer overflow <\/em>(un tipo de desbordamiento del buffer de\u00a0una computadora en el Mont\u00edculo de datos). Los atacantes utilizaron la vulnerabilidad CVE-2021-31956 junto con la funci\u00f3n de notificaci\u00f3n de Windows (WNF) para crear primitivas de lectura\/escritura de memoria arbitrarias y ejecutar m\u00f3dulos de malware con privilegios en el sistema.<\/p>\n Una vez que los atacantes han utilizado tanto los exploits de Chrome como los de Windows para establecerse en el sistema que tienen como objetivo, el m\u00f3dulo de transici\u00f3n descarga y ejecuta un dropper<\/em> o gotero de malware m\u00e1s complejo desde un servidor remoto. Este gotero instala entonces dos ejecutables que pretenden ser archivos leg\u00edtimos pertenecientes al sistema operativo Microsoft Windows. El segundo de estos dos ejecutables es un m\u00f3dulo de shell remoto que puede descargar y cargar archivos, crear procesos, dormir durante ciertos per\u00edodos de tiempo y borrarse a s\u00ed mismo del sistema infectado.<\/p>\n \u00a0\u201cAunque estos ataques eran altamente dirigidos, todav\u00eda no podemos vincularlos con ning\u00fan agente de amenazas conocido. Es por eso que hemos apodado al agente que est\u00e1 detr\u00e1s de ellos \u201cPuzzleMaker\u201d y estaremos monitoreando de cerca el panorama de seguridad en busca de actividades futuras o nuevos conocimientos sobre este grupo. En general, hemos visto varias oleadas de actividad de amenazas destacadas \u00faltimamente que son impulsadas por exploits de d\u00eda cero. Es un recordatorio de que los d\u00edas cero siguen siendo el m\u00e9todo m\u00e1s eficaz para infectar objetivos. Ahora que estas vulnerabilidades se han dado a conocer p\u00fablicamente, es posible que veamos un aumento de su uso en los ataques de este y otros agentes de amenazas. Eso significa que es muy importante que los usuarios descarguen el parche m\u00e1s reciente de Microsoft lo antes posible\u201d, <\/em>comenta Boris Larin, investigador de seguridad senior del Equipo de An\u00e1lisis e Investigaci\u00f3n Global (GReAT) en Kaspersky.<\/p>\n Todos los ataques se llevaron a cabo a trav\u00e9s de Chrome y utilizaron una vulnerabilidad que permit\u00eda la ejecuci\u00f3n a distancia del c\u00f3digo.<\/p>\n","protected":false},"author":2526,"featured_media":22096,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539,6,3540,2738],"tags":[3930,1397,593,498,39,5182,79],"class_list":{"0":"post-22088","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-news","10":"category-smb","11":"category-technology","12":"tag-ataque-dirigido","13":"tag-ciberataque","14":"tag-ciberseguridad","15":"tag-dia-cero","16":"tag-google-chrome","17":"tag-puzzlemaker","18":"tag-windows"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/vulnerabilidades-de-dia-cero-en-google-chrome-y-microsoft-windows\/22088\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/dia-cero\/","name":"dia cero"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/22088","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2526"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=22088"}],"version-history":[{"count":1,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/22088\/revisions"}],"predecessor-version":[{"id":22097,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/22088\/revisions\/22097"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/22096"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=22088"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=22088"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=22088"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Para proteger a organizaciones de ataques que aprovechan las vulnerabilidades antes mencionadas, recomendamos:<\/strong><\/h4>\n
\u00b7 Actualice su navegador Chrome y Microsoft Windows lo<\/strong> antes posible y h\u00e1galo con regularidad.<\/h4>\n
\u00b7 Utilice una soluci\u00f3n de seguridad confiable en endpoints<\/em>, como Kaspersky Endpoint Security for Business<\/a>, que funciona con prevenci\u00f3n de exploits, detecci\u00f3n de comportamiento y un motor de correcci\u00f3n que puede revertir acciones maliciosas.<\/h4>\n
\u00b7 Instale soluciones anti-APT y EDR, que habilitan capacidades para el descubrimiento y detecci\u00f3n de amenazas, investigaci\u00f3n y correcci\u00f3n oportuna de incidentes. Proporcione a su equipo de SOC acceso a la inteligencia m\u00e1s reciente sobre amenazas y capac\u00edtelos peri\u00f3dicamente con capacitaci\u00f3n profesional. Todo lo anterior est\u00e1 disponible en el marco de Kaspersky Expert Security<\/a>.<\/h4>\n
\u00b7 Junto con la protecci\u00f3n adecuada para endpoints<\/em>, los servicios dedicados pueden ayudar contra ataques<\/a> de alto perfil. El servicio Kaspersky Managed Detection and Response<\/a>\u00a0puede ayudar a identificar y detener ataques en sus primeras etapas, antes de que los atacantes logren sus objetivos.<\/h4>\n\n","protected":false},"excerpt":{"rendered":"