Kaspersky Lab ha descubierto una vulnerabilidad zero-day en Microsoft Silverlight, que permitía a los ciberdelincuentes obtener acceso completo a un equipo comprometido y ejecutar código malicioso para robar información secreta y realizar otras acciones ilegales. Dicha vulnerabilidad, la CVE-2.016 a 0.034, se fijó en el último parche de actualización emitido por Microsoft el 12 de enero de 2016.

Esta investigación comenzó hace más de cinco meses a partir de un artículo publicado por Ars Technica, en el que se mencionaba el supuesto correo filtrado entre los representantes de Hacking Team (empresa desarrolladora de “spyware legal”) y Vitaliy Toropov, acerca de un exploit-writer independiente. Entre otros temas, el artículo hacía referencia a los correos con los que Toropov intentaba vender un zero-day a Hacking Team. Este dato despertó el interés de los analistas de Kaspersky Lab.

Aunque no existía información adicional sobre el hecho en el artículo, los analistas comenzaron su investigación utilizando el nombre del vendedor y descubrieron que un usuario que se hacía llamar Vitaliy Toropov era un colaborador muy activo en Open Source Vulnerability Database (OSVDB), sitio donde cualquiera puede publicar información sobre vulnerabilidades.

No sabemos si el exploit que descubrimos es, de hecho, el que se mencionaba en el artículo de Ars Technica, pero tenemos motivos de peso para creer que sí lo es. La comparación del análisis de este archivo con el trabajo previo de Vitaliy Toropov nos hace pensar que el autor del exploit descubierto y el autor de los POC publicados en OSVDB en nombre de Toropov es la misma persona. Al mismo tiempo, no se descarta la posibilidad de que nos encontremos otro exploit zero-dayo en Silverlight. En general, esta investigación ayuda a que el ciberespacio sea un poco más seguro. Animamos a todos los usuarios de los productos de Microsoft a que actualicen sus sistemas lo antes posible para solucionar esta vulnerabilidad”, afirma Costin Raiu, director del GREAT de Kaspersky Lab

Se realizó el análisis de su perfil público en OSVBD.org, y los investigadores de Kaspersky Lab descubrieron que en 2013, Toropov había publicado una prueba de concepto (POC), que describía un error en la tecnología Silverlight. El POC cubría una vieja vulnerabilidad conocida y parcheada. Sin embargo, también contenía detalles adicionales que dieron a los analistas de Kaspersky Lab una pista sobre cómo el autor del exploit escribía los códigos.

Algunas secuencias en el código llamaron la atención y con esta información se crearon varias reglas de detección para las tecnologías de protección de Kaspersky Lab: cuando un usuario que compartía datos de amenazas en Kaspersky Security Network (KSN) detectaba el software malicioso que demostraba el comportamiento oculto, el sistema marcaba el archivo como altamente sospechoso y se enviaba una notificación a la empresa para su análisis. El objetivo era sencillo: si Toropov había tratado de vender un exploit zero-day de Hacking Team, era muy probable que hubiera hecho lo mismo con otros proveedores de software espía. Como resultado, otras campañas de ciberespionaje podrían estar utilizándolo activamente para atacar e infectar a víctimas desprevenidas.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.