A la caza de un Día Cero: Kaspersky Lab descubre vulnerabilidad peligrosa en tecnología web

Ene 15, 2016 - by administrador

Sunrise, FL, 14 de enero de 2016201

 

Kaspersky Lab ha descubierto una vulnerabilidad de día cero en Silverlight, una tecnología web que se utiliza para mostrar contenido multimedia. La vulnerabilidad permitiría a un atacante obtener acceso completo a un computador comprometido y ejecutar código malicioso para robar información confidencial y realizar otras acciones ilegales. La vulnerabilidad (CVE-2016-0034) fue remediada en el último Parche de Actualización del Martes emitido por Microsoft el 12 de enero de 2016. El descubrimiento fue el resultado de una investigación que comenzó hace más de cinco meses a partir de un artículo publicado por Ars Technica.

 

En el verano de 2015 una historia sobre el ataque de hackers contra la compañía Hacking Team (un desarrollador conocido de "spyware legal") llegó a los medios. Uno de los artículos sobre el tema, publicado en Ars Technica, mencionó correspondencia filtrada supuestamente entre representantes de Hacking Team y Vitaliy Toropov, un creador de exploits independiente. Entre otras cosas, el artículo menciona la correspondencia en la que Toropov intentó vender una vulnerabilidad día cero particularmente interesante a Hacking Team: un exploit de cuatro años de antigüedad y aún sin parchar en la tecnología Silverlight de Microsoft. Este dato despertó el interés de los investigadores de Kaspersky Lab.

 

No hubo información adicional acerca del exploit en el artículo, así que los investigadores comenzaron su investigación utilizando el nombre del vendedor. Rápidamente descubrieron que un usuario que se nombró a sí mismo Vitaliy Toropov era un colaborador muy activo de "Open Source Vulnerability Database" (OSVDB), un lugar donde cualquiera puede publicar información sobre vulnerabilidades. Mediante el análisis de su perfil público en OSVBD.org, los investigadores de Kaspersky Lab descubrieron que en 2013, Toropov había publicado una prueba de concepto (POC) la cual describía un error en la tecnología Silverlight. La prueba de concepto cubría una vieja vulnerabilidad que era conocida y actualmente parchada. Sin embargo, también contenía detalles adicionales que le dieron a los investigadores de Kaspersky Lab una pista acerca de cómo el autor del exploit escribe código.

 

Durante el análisis realizado por los expertos de Kaspersky Lab sobresalieron algunas cadenas únicas en el código. Con esta información se crearon varias reglas de detección para las tecnologías de protección de Kaspersky Lab: una vez que un usuario, que accedía a compartir datos de amenazas con Kaspersky Security Network (KSN), encontraba software malicioso que demostraba el comportamiento cubierto por dichas reglas especiales de detección, el sistema       marcaba el archivo como altamente sospechoso y le enviaba una notificación a la empresa para su análisis. La lógica detrás de esta táctica era simple: si Toropov trató de vender un exploit día cero a Hacking Team, era muy probable que haya hecho lo mismo con otros proveedores de spyware. Como resultado de esta actividad, otras campañas cibernéticas de espionaje podrían estar usándolo activamente para atacar e infectar a víctimas desprevenidas.

 

La suposición fue correcta. Varios meses después de la implementación de las reglas especiales de detección, un cliente de Kaspersky Lab fue blanco de un ataque que utilizó un archivo sospechoso con las características que se estaban buscando. Varias horas después, alguien (posiblemente una víctima de los ataques) de Laos subió un archivo con las mismas características a un servicio multiscanner. Los expertos de Kaspersky Lab analizaron el ataque y descubrieron que en realidad estaba aprovechando un error desconocido en la tecnología Silverlight. La información sobre el error se informó inmediatamente a Microsoft para su validación.

 

"Aunque no sabemos si el exploit que descubrimos es, de hecho, el que fue mencionado en el artículo de Ars Technica, tenemos fuertes razones para creer que es el mismo. Comparando el análisis de este archivo con el trabajo previo de Vitaliy Toropov nos hace pensar que el autor del exploit recién descubierto, y el autor de las pruebas de concepto publicados en OSVDB a nombre de Toropov, son la misma persona. Al mismo tiempo, no excluimos por completo la posibilidad de que hayamos descubierto otro exploit día cero en Silverlight. En general, esta investigación ayudó a hacer el ciberespacio un poco más seguro mediante el descubrimiento de un día cero y revelarlo de manera responsable. Alentamos a todos los usuarios de productos Microsoft para que actualicen sus sistemas lo más pronto posible para parchar esta vulnerabilidad", dijo Costin Raiu, Director del Equipo de Análisis e Investigación Global de Kaspersky Lab.

 

Los productos de Kaspersky Lab detectan al exploit CVE-2016-0034 como: HEUR:Exploit.MSIL.Agent.gen.

 

Información adicional sobre el descubrimiento de esta vulnerabilidad está disponible en el artículo publicado en Securelist.com.    

Si desea aprender a escribir reglas YARA eficaces y atrapar nuevas APTs y días cero, ¿por qué no participa en nuestra capacitación YARA elite que se ofrecerá antes de la conferencia Global SAS 2016? Cace APTs con Yara como un ninja GReAT (con Costin Raiu, Vitaly Kamluk y Sergey Mineev). ¡El cupo está casi completo!

0 Comentarios

Deje su comentario