{"id":23102,"date":"2021-10-15T09:48:24","date_gmt":"2021-10-15T15:48:24","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=23102"},"modified":"2021-10-15T09:48:24","modified_gmt":"2021-10-15T15:48:24","slug":"mysterysnail-cve-2021-40449","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/mysterysnail-cve-2021-40449\/23102\/","title":{"rendered":"MysterySnail se arrastra a trav\u00e9s de una vulnerabilidad de d\u00eda cero"},"content":{"rendered":"<p>Nuestras tecnolog\u00edas de motor de detecci\u00f3n de comportamiento y prevenci\u00f3n de <em>exploits<\/em> recientemente detectaron la explotaci\u00f3n de una vulnerabilidad en el controlador kernel Win32k, lo que deriv\u00f3 en una investigaci\u00f3n de toda la operaci\u00f3n cibercriminal detr\u00e1s de la explotaci\u00f3n. Informamos la vulnerabilidad (<a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2021-40449\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-40449<\/a>) a Microsoft, y la empresa la repar\u00f3 en una actualizaci\u00f3n regular liberada el 12 de octubre. Por lo tanto, como es usual despu\u00e9s del Martes de parches, recomendamos <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-40449\" target=\"_blank\" rel=\"noopener nofollow\">actualizar Microsoft Windows<\/a> lo antes posible.<\/p>\n<h2>Para qu\u00e9 se utiliz\u00f3 CVE-2021-40449<\/h2>\n<p>CVE-2021-40449 es una <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/use-after-free\/\" target=\"_blank\" rel=\"noopener\">vulnerabilidad de tipo use-after-free<\/a> en la funci\u00f3n NtGdiResetDC del driver Win32k. Una descripci\u00f3n t\u00e9cnica detallada est\u00e1 disponible en nuestra <a href=\"https:\/\/securelist.com\/mysterysnail-attacks-with-windows-zero-day\/104509\/\" target=\"_blank\" rel=\"noopener\">publicaci\u00f3n de Securelist<\/a>, pero, en resumen, la vulnerabilidad puede resultar en la filtraci\u00f3n de direcciones del m\u00f3dulo del kernel en la memoria de la computadora. Entonces, los cibercriminales utilizan la filtraci\u00f3n para elevar los privilegios de otros procesos maliciosos.<\/p>\n<p>Mediante esta escalaci\u00f3n de privilegios, los atacantes pudieron descargar y lanzar MysterySnail, un <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/rat-remote-access-tools\/\" target=\"_blank\" rel=\"noopener\">troyano de acceso remoto (RAT)<\/a> mediante el cual los atacantes obtienen acceso al sistema de la v\u00edctima.<\/p>\n<h2>Qu\u00e9 hace MysterySnail<\/h2>\n<p>El troyano comienza por reunir informaci\u00f3n sobre el sistema infectado y la env\u00eda al servidor C&amp;C. Entonces, mediante MysterySnail, los atacantes pueden emitir varios comandos. Por ejemplo, pueden crear, leer, o eliminar un archivo en espec\u00edfico, crear o eliminar un proceso, obtener una lista de directorio, o abrir un canal proxy y enviar datos mediante este.<\/p>\n<p>Las otras funciones de MysterySnail incluyen la capacidad para visualizar la lista de controladores conectados, a fin de monitorear la conexi\u00f3n de los controladores externos en segundo plano, entre otras. El troyano tambi\u00e9n puede lanzar el <em>shell<\/em> interactivo cmd.exe (al copiar el archivo cmd.exe a una carpeta temporal con un nombre distinto).<\/p>\n<h2>Ataques mediante CVE-2021-40449<\/h2>\n<p>La explotaci\u00f3n de esta vulnerabilidad cubre una cadena de sistemas operativos en la familia de Microsoft Windows: Vista, 7, 8, 8.1, Servidor 2008, Servidor 2008 R2, Servidor 2012, Servidor 2012 R2, Windows 10 (build 14393), Servidor 2016 (build 14393), 10 (build 17763), y Servidor 2019 (build 17763). De acuerdo con nuestros expertos, el <em>exploit<\/em> existe espec\u00edficamente para escalar privilegios en las versiones del servidor del OS.<\/p>\n<p>Despu\u00e9s de detectar la amenaza, nuestros expertos establecieron que el <em>exploit<\/em> y el <em>malware<\/em> MysterySnail que carga en el sistema han sido ampliamente utilizados en operaciones de espionaje contra empresas de TI, organizaciones diplom\u00e1ticas, y empresas que trabajan para la industria de la defensa.<\/p>\n<p>Gracias a Kaspersky Threat Attribution Engine, nuestros expertos pudieron encontrar similitudes en el c\u00f3digo y funcionalidad de MysterySnail y el <em>malware<\/em> utilizado por el grupo IronHusky. Adem\u00e1s, un grupo APT de idioma chino utiliz\u00f3 algunas de las direcciones del servidor C&amp;C de MysterySnail en 2012.<\/p>\n<p>Si quieres m\u00e1s informaci\u00f3n sobre el ataque, incluida una descripci\u00f3n detallada del <em>exploit<\/em> y los indicadores de compromiso, <a href=\"https:\/\/securelist.com\/mysterysnail-attacks-with-windows-zero-day\/104509\/\" target=\"_blank\" rel=\"noopener\">revisa nuestra publicaci\u00f3n de Securelist<\/a>.<\/p>\n<h2>C\u00f3mo mantenerse seguro<\/h2>\n<p>Inicia instalando los <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-40449\" target=\"_blank\" rel=\"noopener nofollow\">parches m\u00e1s recientes de Microsoft<\/a>, y evita ser v\u00edctima de vulnerabilidades de d\u00eda cero futuras al instalar soluciones de seguridad s\u00f3lidas que detectan de manera proactiva y detienen la explotaci\u00f3n de vulnerabilidades en todas las computadoras con acceso a Internet. Las tecnolog\u00edas de motor de detecci\u00f3n de comportamiento y prevenci\u00f3n de <em>exploits<\/em>, como las de <a href=\"https:\/\/latam.kaspersky.com\/small-to-medium-business-security?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Endpoint Security for Business<\/a>, detectaron CVE-2021-40449.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Nuestras tecnolog\u00edas de seguridad detectaron la explotaci\u00f3n de una vulnerabilidad antes desconocida en el controlador Win32k.<\/p>\n","protected":false},"author":2581,"featured_media":23091,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539,3540],"tags":[2081,2352,1262,647,79],"class_list":{"0":"post-23102","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-exploits","11":"tag-rat","12":"tag-troyanos","13":"tag-vulnerabilidades","14":"tag-windows"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/mysterysnail-cve-2021-40449\/23102\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/mysterysnail-cve-2021-40449\/23490\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/mysterysnail-cve-2021-40449\/18967\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/mysterysnail-cve-2021-40449\/9499\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/mysterysnail-cve-2021-40449\/25567\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/mysterysnail-cve-2021-40449\/23639\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/mysterysnail-cve-2021-40449\/26246\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/mysterysnail-cve-2021-40449\/25784\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/mysterysnail-cve-2021-40449\/31702\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/mysterysnail-cve-2021-40449\/10158\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/mysterysnail-cve-2021-40449\/42448\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/mysterysnail-cve-2021-40449\/18275\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/mysterysnail-cve-2021-40449\/15406\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/mysterysnail-cve-2021-40449\/27564\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/mysterysnail-cve-2021-40449\/31798\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/mysterysnail-cve-2021-40449\/27720\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/mysterysnail-cve-2021-40449\/24480\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/mysterysnail-cve-2021-40449\/29842\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/mysterysnail-cve-2021-40449\/29640\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/vulnerabilidades\/","name":"vulnerabilidades"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/23102","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=23102"}],"version-history":[{"count":5,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/23102\/revisions"}],"predecessor-version":[{"id":23106,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/23102\/revisions\/23106"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/23091"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=23102"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=23102"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=23102"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}