A principios de marzo, nuestras tecnologías de seguridad proactivas descubrieron un intento de explotación de una vulnerabilidad en Microsoft Windows. El análisis reveló una vulnerabilidad de día cero en nuestro viejo amigo win32k.sys, en el que ya se han detectado vulnerabilidades similares en otras cuatro ocasiones. Informamos al desarrollador sobre el problema y este solucionó la vulnerabilidad con un parche que se lanzó el 10 de abril.
¿A qué nos enfrentamos?
CVE-2019-0859 es una vulnerabilidad de tipo Use-After-Free en la función del sistema que se encarga de las ventanas de diálogo o, siendo más concretos, de sus estilos adicionales. El patrón del exploit descubierto en activo se dirigía a los sistemas operativos con versiones de 64 bits, desde Windows 7 hasta los últimos Windows 10. La explotación de la vulnerabilidad permite al malware descargar y ejecutar un script desarrollado por los atacantes que, en el peor de los casos, acaba con el control total del ordenador infectado.
O, al menos, así es cómo este grupo de APT sin identificar intentó utilizarla. Con esta vulnerabilidad, consiguieron los privilegios necesarios como para instalar una puerta trasera creada con Windows PowerShell. En teoría, esto debería permitir que los cibercriminales permanecieran ocultos. Esta carga se subió mediante la puerta trasera, gracias a la cual los cibercriminales consiguieron acceso total a todo el ordenador infectado. No te pierdas esta publicación en Securelist para más información sobre el funcionamiento del exploit.
Cómo mantenerte protegido
Ya hemos hablado en otras ocasiones de los siguientes métodos de protección, no hay nada nuevo que añadir:
- Primero, instala la actualización de Microsoft para cerrar la vulnerabilidad.
- Actualiza de forma periódica todo el software que se utiliza en tu compañía, sobre todo, intenta que los sistemas operativos siempre tengan instaladas las últimas versiones.
- Utiliza soluciones de seguridad con tecnologías de análisis de comportamiento que puedan detectar incluso las amenazas desconocidas.
El exploit de la vulnerabilidad CVE-2019-0859 se identificó inicialmente con las tecnologías de prevención automática de exploits y el motor de detección de comportamiento, que forma parte de nuestra solución Kaspersky Endpoint Security for Business.
Si tus administradores o equipo de seguridad de la información necesitan más información sobre los métodos empleados para detectar amenazas de día cero en Microsoft, recomendamos que no se pierdan este seminario online.