MysterySnail se cuela a través de una vulnerabilidad de día cero

Nuestras tecnologías de seguridad detectaron la explotación de una vulnerabilidad antes desconocida en el driver Win32k.

Nuestras tecnologías Behavioral Detection Engine and Exploit Prevention recientemente detectaron la explotación de una vulnerabilidad en el driver kernel Win32k, lo que derivó en una investigación de toda la operación cibercriminal detrás de la explotación. Informamos de la vulnerabilidad (CVE-2021-40449) a Microsoft y estos la repararon en una actualización regular lanzada el 12 de octubre. Por tanto, como es habitual después de cada Martes de parches, recomendamos actualizar Microsoft Windows lo antes posible.

Para qué se utilizó la CVE-2021-40449

La CVE-2021-40449 es una vulnerabilidad de tipo use-after-free en la función NtGdiResetDC del driver Win32k. En nuestra publicación de Securelist encontrarás una descripción más técnica y detallada, pero, en resumen, esta vulnerabilidad da lugar a la filtración de direcciones del módulo del kernel en la memoria del ordenador. Después, los ciberdelincuentes pueden utilizar esta filtración para elevar los privilegios de otros procesos maliciosos.

Mediante esta escalación de privilegios, los atacantes pudieron descargar y lanzar MysterySnail, un troyano de acceso remoto (RAT) mediante el cual los atacantes obtienen acceso al sistema de la víctima.

Qué hace MysterySnail

Este troyano comienza por reunir información sobre el sistema infectado y la envía al servidor de mando y control. Entonces, mediante MysterySnail, los atacantes pueden emitir varios comandos. Por ejemplo, pueden crear, leer o eliminar un archivo en específico, crear o eliminar un proceso, obtener una lista de directorio o abrir un canal proxy y enviar datos mediante este.

Las demás funciones de MysterySnail incluyen la capacidad para visualizar la lista de drivers conectados, con el objetivo de monitorizar la conexión de los drivers externos en segundo plano, entre otras. El troyano también puede lanzar el shell interactivo cmd.exe (al copiar el archivo cmd.exe en una carpeta temporal con un nombre distinto).

Los ataques mediante la CVE-2021-40449

La explotación de esta vulnerabilidad cubre una cadena de sistemas operativos en la familia de Microsoft Windows: Vista, 7, 8, 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, Windows 10 (versión 14393), Server 2016 (versión 14393), 10 (versión 17763), and Server 2019 (versión 17763). De acuerdo con nuestros expertos, el exploit existe específicamente para escalar privilegios en las versiones del servidor del sistema operativo.

Después de detectar la amenaza, nuestros expertos establecieron que el exploit y el malware MysterySnail que carga en el sistema han sido ampliamente utilizados en operaciones de espionaje contra empresas informáticas, organizaciones diplomáticas y empresas que trabajan para la industria de defensa.

Gracias a Kaspersky Threat Attribution Engine, nuestros expertos pudieron encontrar similitudes en el código y funcionalidad de MysterySnail y el malware utilizado por el grupo IronHusky. Además, un grupo de APT de habla china ya utilizó algunas de las direcciones del servidor de mando y control de MysterySnail en el 2012.

Para más información sobre el ataque, incluida una descripción detallada del exploit y los indicadores de compromiso, visita nuestra publicación de Securelist.

Cómo mantenerse a salvo

Puedes empezar con la instalación de los parches más recientes de Microsoft y evita caer en la trampa de vulnerabilidades de día cero futuras con soluciones de seguridad sólidas que detecten de manera proactiva y detengan la explotación de vulnerabilidades en todos los ordenadores con acceso a Internet. Las tecnologías Behavioral Detection Engine and Exploit Prevention, como las de Kaspersky Endpoint Security for Business, detectaron la CVE-2021-40449.

Consejos