Las tecnologías automatizadas de Kaspersky detectaron una nueva vulnerabilidad explotada en el navegador web Google Chrome identificada como CVE-2019-13720,. Tras la notificación de Kaspersky a Google sobre su hallazgo, éste último utilizó un parche para solucionarlo. Luego de la revisión del PoC proporcionado, Google confirmó que se trata de una vulnerabilidad de día cero.
Las vulnerabilidades de día cero son errores de software previamente desconocidos que pueden ser explotados por los atacantes para infligir daños graves e inesperados. El nuevo exploit se usa en ataques que aprovechan una inyección al estilo waterhole en un portal de noticias de idioma coreano. Un código de JavaScript malicioso se inserta en la página principal y carga un script de creación de perfiles desde un sitio remoto para verificar si el sistema de la víctima podría infectarse al examinar diferentes versiones de las credenciales de usuario del navegador. La vulnerabilidad intenta explotar el error a través del navegador Google Chrome y el script verifica si se está utilizando la versión 65 o posterior. El exploit le da al atacante una condición Use-After-Free (UaF), la cual es muy peligrosa porque puede conducir a escenarios de ejecución de código.
El exploit detectado se utilizó en lo que los expertos de Kaspersky llaman “Operation WizardOpium”. Ciertas similitudes en el código apuntan a un posible vínculo entre esta campaña y los ataques de Lazarus. Además, el perfil del sitio web objetivo es similar al que se encontró en los ataques anteriores de DarkHotel, el cual recientemente ha desplegado ataques de banderas falsas comparables.
La vulnerabilidad explotada fue detectada por la tecnología de prevención de exploits de Kaspersky, integrada en la mayoría de los productos de la compañía.
“El descubrimiento de un nuevo día cero de Google Chrome en activo demuestra una vez más que la colaboración entre la comunidad de seguridad y los desarrolladores de software, así como la inversión constante en tecnologías de prevención de exploits, es lo único que puede mantenernos a salvo de ataques repentinos y ocultos por actores de amenazas “, dijo Anton Ivanov, experto en seguridad de Kaspersky.
Los productos de Kaspersky detectan el exploit como PDM: Exploit.Win32.Generic.
Kaspersky recomienda tomar las siguientes medidas de seguridad:
- Instale el parche de Google para la nueva vulnerabilidad lo antes posible.
- Asegúrese de actualizar regularmente todo el software utilizado e instalar los nuevos parches de seguridad en su organización. Los productos de seguridad con capacidades de evaluación de vulnerabilidad y gestión de parches pueden ayudar a automatizar estos procesos.
- Elija una solución de seguridad comprobada, como Kaspersky Endpoint Security for Business, que esté equipada con capacidades de detección basadas en el comportamiento para una protección efectiva contra amenazas conocidas y desconocidas, incluidos los exploits.
- Además de adoptar una protección esencial para endpoints, implemente una solución de seguridad de nivel corporativo que detecte amenazas avanzadas en la red en una etapa temprana, como la Plataforma Kaspersky Anti-Targeted Attack.
- Asegúrese de que su equipo de seguridad tenga acceso a la inteligencia de ciberamenazas más reciente. Los informes privados sobre los últimos desarrollos en el panorama de amenazas están disponibles para los clientes de Kaspersky Intelligence Reporting. Para más detalles, contacte: [email protected].
- Por último, asegúrese de que su personal esté capacitado para comprender e implementar los conceptos básicos en materia de ciberseguridad.
Para más detalles sobre el nuevo exploit, lea el informe completo en Securelist.