A finales de la primavera de 2020, las tecnologías de detección automatizada de Kaspersky impidieron un ataque dirigido a una empresa surcoreana. Un análisis más detallado reveló que este ataque utilizaba una cadena completa desconocida hasta entonces que consistía en dos exploits de día cero: uno de ejecución de código en remoto para Internet Explorer 11 y otro de elevación de privilegios (EoP) para Windows 10.
Una vulnerabilidad de día cero es un tipo de error de software previamente desconocido. Una vez descubierto, permite llevar a cabo actividades maliciosas de forma discreta, causando daños graves e inesperados.
Mientras investigaban el ataque mencionado, los investigadores de Kaspersky encontraron dos vulnerabilidades de día cero. El primer exploit para Internet Explorer es un Use-After-Free, un tipo de vulnerabilidad que permite la ejecución completa de código a distancia. Este exploit fue denominado como CVE-2020-1380.
Los exploits de día cero eran uno de ejecución de código en remoto para Internet Explorer 11 y otro de elevación de privilegios (EoP) para Windows 10
Sin embargo, como Internet Explorer funciona en un entorno aislado, los atacantes necesitaban más privilegios en la máquina infectada. Esa es la razón por la que requerían del segundo exploit, encontrado en Windows, y que utilizaba una vulnerabilidad en el servicio de impresión. Permitió a los atacantes ejecutar código arbitrario en la máquina de la víctima. Este exploit de elevación de privilegios (EoP) se referenció como CVE-2020-0986.
«Siempre es una gran noticia para la comunidad de ciberseguridad cuando se identifican ataques con vulnerabilidades de día cero “in the wild”. La detección exitosa de tal vulnerabilidad presiona a los fabricantes para emitir un parche y obliga a los usuarios a instalar todas las actualizaciones necesarias. Un aspecto particularmente interesante en este ataque en concreto es que los exploits que encontramos anteriormente se centraban en la elevación de los privilegios. Sin embargo, este caso incluye un exploit con capacidades de ejecución de código remoto, que es más peligroso. Junto con la capacidad de afectar a las últimas versiones de Windows 10, el ataque descubierto es algo realmente excepcional hoy en día. Nos recuerda una vez más que debemos invertir en tecnologías de inteligencia de amenazas y de protección reconocidas y probadas para poder detectar proactivamente las últimas amenazas de día cero», comenta Boris Larin, experto en seguridad de Kaspersky.
Los expertos de Kaspersky tienen un nivel de confianza bajo en que el ataque pueda atribuirse a DarkHotel, basándose en algunas similitudes entre el nuevo exploit y otros previamente descubiertos que se atribuyen a este actor de amenazas.
Se puede acceder a información detallada sobre los indicadores de compromiso relacionados con este grupo, incluidos los hashes de archivos y los servidores C2, en el Portal de Inteligencia sobre Amenazas de Kaspersky.
Los productos de Kaspersky detectan estos exploits con el veredicto PDM:Exploit.Win32.Generic.
El 9 de junio de 2020 se publicó un parche para la vulnerabilidad de elevación del privilegio CVE-2020-0986.
El 11 de agosto de 2020 se publicó un parche para la vulnerabilidad de ejecución de código remoto CVE-2020-1380.
