{"id":22099,"date":"2021-06-09T13:21:51","date_gmt":"2021-06-09T19:21:51","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=22099"},"modified":"2021-06-09T13:21:51","modified_gmt":"2021-06-09T19:21:51","slug":"chrome-windows-zero-day","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/chrome-windows-zero-day\/22099\/","title":{"rendered":"PuzzleMaker: Ataques dirigidos a m\u00faltiples empresas"},"content":{"rendered":"

Las tecnolog\u00edas de detecci\u00f3n de amenazas de comportamiento y prevenci\u00f3n de exploits<\/em> en Kaspersky Endpoint Security for Business<\/a> identificaron una ola de ataques dirigidos a m\u00faltiples empresas.\u00a0 Estos ataques utilizan una cadena de exploits<\/em> de d\u00eda cero de vulnerabilidades del navegador Chrome de Google y Microsoft Windows.\u00a0 Por ahora, los parches para las vulnerabilidades est\u00e1n disponibles (en una actualizaci\u00f3n de Microsoft lanzada el 8 de junio), por lo que recomendamos a todo el mundo que actualice tanto el navegador como el sistema operativo. Al actor de amenazas que est\u00e1 detr\u00e1s de estos ataques lo llamamos PuzzleMaker.<\/p>\n

\u00bfPor qu\u00e9 los ataques de PuzzleMaker son tan peligrosos?<\/h2>\n

Los atacantes utilizan una vulnerabilidad de Google Chrome para ejecutar c\u00f3digo malicioso en la m\u00e1quina objetivo; y para escapar del \u201csandbox\u201d<\/a>, entorno aislado de pruebas, y obtener privilegios del sistema, hacen uso de dos vulnerabilidades de Windows 10. Proceden a cargar el primer m\u00f3dulo de malware<\/em>, el llamado stager<\/em>, en la m\u00e1quina de la v\u00edctima junto con un bloque de configuraci\u00f3n personalizado (direcci\u00f3n del servidor de comandos, ID de sesi\u00f3n, claves de descifrado para el siguiente m\u00f3dulo, etc.).<\/p>\n

Stager<\/em> notifica a los atacantes sobre la infecci\u00f3n y descarga exitosa, y descifra un m\u00f3dulo dropper<\/em><\/a>, que, a su vez, instala dos archivos ejecutables que hace pasar como leg\u00edtimos. El primero, WmiPrvMon.ex\u0435, se registra como servicio y ejecuta el segundo, wmimon.dll.\u00a0 Este segundo archivo ejecutable es la carga \u00fatil<\/a> principal del ataque, dise\u00f1ado como un shell<\/em> remoto.<\/p>\n

Los atacantes utilizan este shell<\/em> para disfrutar del control pleno de la m\u00e1quina objetivo. Pueden cargar y descargar archivos, crear procesos, hibernar durante un per\u00edodo de tiempo espec\u00edfico e incluso eliminar cualquier rastro de ataque en la m\u00e1quina.\u00a0 Este componente de malware<\/em> se comunica con el servidor de comandos a trav\u00e9s de una conexi\u00f3n cifrada.<\/p>\n

\u00bfQu\u00e9 exploits<\/em> y qu\u00e9 vulnerabilidades?<\/h2>\n

Desafortunadamente, nuestros expertos no pudieron analizar el exploit<\/em> de ejecuci\u00f3n remota de c\u00f3digo<\/a> que PuzzleMaker utiliz\u00f3 para atacar Google Chrome, pero s\u00ed completaron una investigaci\u00f3n exhaustiva y concluyeron que los atacantes probablemente se sirvieron de la vulnerabilidad CVE-2021-21224<\/a>.\u00a0 Si quieres saber c\u00f3mo y porqu\u00e9 llegaron a esta conclusi\u00f3n, te recomendamos que leas sus deducciones en esta publicaci\u00f3n de Securelist<\/a>. En cualquier caso, Google liber\u00f3 un parche para esta vulnerabilidad el 20 de abril de 2021, menos de una semana despu\u00e9s de que descubri\u00e9ramos la ola de ataques.<\/p>\n

El exploit<\/em> que permite la escalada de privilegios utiliza dos vulnerabilidades de Windows 10 a la vez. La primera, CVE-2021-31955<\/a>, es una vulnerabilidad que divulga informaci\u00f3n en el archivo ntoskrnl.exe. El exploit<\/em> lo utilizaba para determinar las direcciones del n\u00facleo de la estructura EPROCESS para los procesos ejecutados. La segunda vulnerabilidad, CVE-2021-31956<\/a>, se encuentra en el driver<\/em> y pertenece a la clase de vulnerabilidades de desbordamiento de mont\u00edculo<\/a>. Los criminales la usaban junto con la funci\u00f3n de notificaci\u00f3n de Windows para leer y escribir datos en la memoria.\u00a0 Este exploit<\/em> funciona en las compilaciones m\u00e1s comunes de Windows 10. 17763 (Redstone 5), 18362 (19H1), 18363 (19H2), 19041 (20H1) y 19042 (20H2). La compilaci\u00f3n 19043 (21H1) tambi\u00e9n es vulnerable, aunque nuestras tecnolog\u00edas no han detectado ataques en esta versi\u00f3n, que fue lanzada despu\u00e9s de que detect\u00e1ramos PuzzleMaker. Securelist public\u00f3 una descripci\u00f3n t\u00e9cnica detallada<\/a> y una lista con los indicadores de compromiso.<\/p>\n

Prot\u00e9gete contra este y otros ataques similares<\/h2>\n

Para salvaguardar la seguridad corporativa contra los exploits<\/em> utilizados en el ataque de PuzzleMaker, primero actualiza Chrome e instala (desde el sitio web<\/a> de Microsoft<\/a>) los parches del sistema operativo que abordan las vulnerabilidades CVE-2021-31955 y CVE-2021-31956.<\/p>\n

Dicho esto, para evitar la amenaza de otras vulnerabilidades de d\u00eda cero, todo tipo de empresa necesita utilizar productos de ciberseguridad que puedan detectar dichos intentos de explotaci\u00f3n mediante el an\u00e1lisis de comportamientos sospechosos. Por ejemplo, nuestros productos detectaron este ataque utilizando la tecnolog\u00eda del motor de detecci\u00f3n de comportamiento y el subsistema de prevenci\u00f3n de exploits<\/em> en Kaspersky Endpoint Security for business<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Nuestras tecnolog\u00edas detectaron ataques dirigidos que involucran varios exploit de d\u00eda cero.<\/p>\n","protected":false},"author":700,"featured_media":22100,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539],"tags":[226,2081,647,79],"class_list":{"0":"post-22099","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-chrome","10":"tag-exploits","11":"tag-vulnerabilidades","12":"tag-windows"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/chrome-windows-zero-day\/22099\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/chrome-windows-zero-day\/22945\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/chrome-windows-zero-day\/18438\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/chrome-windows-zero-day\/24889\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/chrome-windows-zero-day\/22882\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/chrome-windows-zero-day\/25457\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/chrome-windows-zero-day\/24893\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/chrome-windows-zero-day\/30891\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/chrome-windows-zero-day\/9728\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/chrome-windows-zero-day\/40191\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/chrome-windows-zero-day\/17104\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/chrome-windows-zero-day\/17609\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/chrome-windows-zero-day\/14905\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/chrome-windows-zero-day\/26918\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/chrome-windows-zero-day\/31022\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/chrome-windows-zero-day\/27149\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/chrome-windows-zero-day\/24006\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/chrome-windows-zero-day\/29322\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/chrome-windows-zero-day\/29126\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/vulnerabilidades\/","name":"vulnerabilidades"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/22099","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=22099"}],"version-history":[{"count":3,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/22099\/revisions"}],"predecessor-version":[{"id":22102,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/22099\/revisions\/22102"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/22100"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=22099"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=22099"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=22099"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}