3er exploit Zero Day para Windows en 3 meses

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

La vulnerabilidad es peligrosa ya que existe en el módulo kernel del sistema operativo y puede usarse para eludir los mecanismos de mitigación de exploits maliciosos existentes en los navegadores web modernos, incluyendo Chrome y Edge

Las tecnologías de detección automática de han detectado una nueva vulnerabilidad explotada en el kernel (núcleo) del sistema operativo de Microsoft Windows, la tercera vulnerabilidad consecutiva de día cero que se ha descubierto en tres meses.

La más reciente vulnerabilidad explotada (CVE-2018-8611) se encontró en un programa malicioso dirigido a un pequeño número de víctimas en el Medio Oriente y Asia.

Debido a que la vulnerabilidad existe en el módulo kernel del sistema operativo, el exploit es particularmente peligroso y puede usarse para eludir los mecanismos de mitigación de exploits existentes en los navegadores web modernos, incluidos Chrome y Edge.

La vulnerabilidad fue reportada a Microsoft, la cual ha emitido un parche.

Las vulnerabilidades de “día cero” son previamente desconocidas y, por lo tanto, no existe protección contra este tipo de amenaza.

Son estos errores de software los que los atacantes pueden explotar para obtener acceso a los sistemas y dispositivos de las víctimas y son inmensamente valiosos para los agentes de amenazas ya que son difíciles de detectar..

Al igual que las dos vulnerabilidades anteriores explotadas (CVE-2018-8589 CVE-2018-8453), las cuales fueron parcheadas por Microsoft en octubre y noviembre, respectivamente, se descubrió que el último exploit fue utilizado propagándose libremente y escogiendo víctimas en el Medio Oriente y África.

El exploit para CVE-2018-8589 fue llamado “Alice” por los creadores de malware, que también se referían a este último exploit como “Jasmine“.

Los investigadores creen que la nueva vulnerabilidad ha sido explotada por varios agentes de amenazas, incluida una nueva amenaza persistente avanzada (APT) llamada Sandcat.

Recomiendo tomar las siguientes medidas de seguridad:

  • Instale el parche de Microsoft para la nueva vulnerabilidad.
  • Asegúrese de actualizar regularmente todo el software utilizado en su organización, y siempre que se ofrezca un nuevo parche de seguridad. Los productos de seguridad con capacidades de evaluación de vulnerabilidades y gestión de parches pueden ayudar a automatizar estos procesos.