Potencial Zero Day fue descubierto en la etapa de pruebas

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

Se encontraron dos exploits zero day después de que alguien subió una PoC “desarmada” a VirusTotal

Investigadores de seguridad de Microsoft revelaron detalles de dos vulnerabilidades críticas e importantes de día cero que se descubrieron recientemente después de que alguien cargó un archivo PDF malicioso en VirusTotal y se parcheó antes de ser utilizado en la naturaleza.

A fines de marzo, investigadores encontraron un archivo PDF malicioso en VirusTotal, que compartieron con el equipo de seguridad de Microsoft “como un exploit potencial para una vulnerabilidad desconocida del kernel de Windows”.

Después de analizar el archivo PDF malicioso, el equipo de Microsoft descubrió que el mismo archivo incluye dos exploits diferentes de día cero: uno para Adobe Acrobat y Reader y el otro para Microsoft Windows.

Dado que los parches para ambas vulnerabilidades se lanzaron en la segunda semana de mayo, Microsoft dio a conocer los detalles de ambas vulnerabilidades en la actualidad, después de dar a los usuarios el tiempo suficiente para actualizar sus sistemas operativos vulnerables y el software de Adobe.

Según los investigadores, el PDF malicioso que incluía tanto el exploit de días cero estaba en la etapa de desarrollo inicial, “dado el hecho de que el PDF en sí no entregó una carga maliciosa y parecía ser un código de prueba de concepto (PoC). “

Parece que alguien que podría haber combinado ambos días cero para construir un arma cibernética extremadamente poderosa había perdido involuntaria y erróneamente el juego al cargar su vulnerabilidad de subdesarrollo a VirusTotal.

Las vulnerabilidades de día cero en cuestión son un error de ejecución remota de código en Adobe Acrobat y Reader (CVE-2018-4990) y un error de escalamiento de privilegios en Microsoft Windows (CVE-2018-8120).

“El primer exploit ataca el motor JavaScript de Adobe para ejecutar Shellcode en el contexto de ese módulo”, dice Matt Oh, ingeniero de seguridad de Windows Defender ATP Research.

“El segundo exploit, que no afecta a las plataformas modernas como Windows 10, permite que el shellcode escape del entorno limitado de Adobe Reader y se ejecute con privilegios elevados desde la memoria del kernel de Windows”.

El exploit de Adobe Acrobat y Reader se incorporó en un documento PDF como una imagen JPEG 2000 creada con fines malintencionados que contiene el código de explotación de JavaScript, que desencadena una vulnerabilidad de doble libre en el software para ejecutar Shellcode.

Aprovechando la ejecución del shellcode desde la primera vulnerabilidad, el atacante usa el segundo exploit del kernel de Windows para romper el sandbox de Adobe Reader y ejecutarlo con privilegios elevados.

Debido a que esta muestra maliciosa de PDF estaba en desarrollo en el momento de la detección, al parecer incluía una carga útil simple de PoC que arrojaba un archivo vbs vacío en la carpeta de Inicio.

 

 

Por Yago Gómez Trenor – Analista de Seguridad de Vintegris