Kaspersky Lab ha descubierto una vulnerabilidad zero-day en Microsoft
Silverlight, una tecnología web que se utiliza para mostrar contenido
multimedia online. La vulnerabilidad permitía a los ciberdelincuentes obtener
acceso completo a un equipo comprometido y ejecutar código malicioso.
La vulnerabilidad (CVE-2.016 a 0.034) fue solucionada por Microsoft en la actualización de seguridad del martes 12 de enero de 2016. La investigación de Kaspersky comenzó hace más de cinco meses a partir de un artículo publicado por Ars Technica.
En el verano boreal de 2015 saltó a los medios el ataque contra
Hacking Team (empresa desarrolladora de “spyware legal”). Uno de los artículos
sobre el tema, publicado en Ars Technica, mencionaba el supuesto filtrado de
correo entre los representantes de Hacking Team y Vitaliy Toropov, un
exploit-writer independiente. Entre otros temas, el artículo hacía referencia a
los correos con los que Toropov intentaba vender un zero-day a Hacking Team: un
exploit de cuatro años y aún sin parchear de tecnología Microsoft Silverlight.
Este dato despertó el interés de los analistas de Kaspersky Lab.
No existía información adicional sobre este hecho en el artículo y los
analistas comenzaron su investigación utilizando el nombre del vendedor.
Rápidamente descubrieron que un usuario que se hacía llamar Vitaliy Toropov era
un colaborador muy activo en Open Source Vulnerability Database (OSVDB), un
sitio donde cualquiera puede publicar información sobre vulnerabilidades.
Mediante el análisis de su perfil público en OSVBD.org, los investigadores de
Kaspersky Lab descubrieron que en 2013, Toropov había publicado una prueba de
concepto (POC), que describía un error en la tecnología Silverlight. El POC
cubría una vieja vulnerabilidad conocida y parcheada. Sin embargo, también
contenía detalles adicionales que dieron a los analistas de Kaspersky Lab una
pista sobre cómo el autor del exploit escribía los códigos.
Durante el análisis realizado por los expertos de Kaspersky Lab,
algunas secuencias en el código llamaron la atención. Con esta información se
crearon varias reglas de detección para las tecnologías de protección de
Kaspersky Lab: cuando un usuario que compartía datos de amenazas en Kaspersky
Security Network (KSN) detectaba el software malicioso que demostraba el
comportamiento oculto, el sistema marcaba el archivo como altamente sospechoso
y se enviaba una notificación a la empresa para su análisis. El objetivo de
esta táctica era sencillo: si Toropov había tratado de vender un exploit
zero-day de Hacking Team, era muy probable que hubiera hecho lo mismo con otros
proveedores de software espía. Como resultado, otras campañas de ciberespionaje
podrían estar utilizándolo activamente para atacar e infectar a víctimas
desprevenidas.
“No sabemos si el exploit que
descubrimos es, de hecho, el que se mencionaba en el artículo de Ars Technica,
pero tenemos motivos de peso para creer que sí lo es. La comparación del
análisis de este archivo con el trabajo previo de Vitaliy Toropov nos hace
pensar que el autor del exploit descubierto y el autor de los POC publicados en
OSVDB en nombre de Toropov es la misma persona. Al mismo tiempo, no se descarta
la posibilidad de que nos encontremos otro exploit zero-dayo en Silverlight. En
general, esta investigación ayuda a que el ciberespacio sea un poco más seguro.
Animamos a todos los usuarios de los productos de Microsoft a que actualicen
sus sistemas lo antes posible para solucionar esta vulnerabilidad”, afirma
Costin Raiu, director del GREAT de Kaspersky Lab.
Los productos de Kaspersky Lab detectan el exploit CVE-2.016-0.034 con el siguiente nombre: HEUR: Exploit.MSIL.Agent.gen
Más información
·
Información
publicada por Kaspersky en Securelist.com https://securelist.com/blog/research/73255/the-mysterious-case-of-cve-2016-0034-the-hunt-for-a-microsoft-silverlight-0-day/
Fuente:
Diarioti.com