Nueva vulnerabilidad en Google Chrome 76 y 77: ya hay parche
- Actualidad
Kaspersky ha detectado una nueva vulnerabilidad en Google Chrome conocida como CVE-2019-13720, que afecta a algunas versiones 76 y 77 del navegador. Ya hay un parche para esta vulnerabilidad de día cero.
La tecnología de Prevención de Exploits de Kaspersky ha permitido encontrar una vulnerabilidad de día cero en Google Chrome que, tras ser reportada y realizar las correspondientes comprobaciones, ya ha liberado un parche.
No obstante, el fallo ya ha sido aprovechado por los ciberdelincuentes. El ataque se inició en un portal de noticias coreano en el que los atacantes insertaron un código JavaScript malicioso en la página principal que, a su vez, carga un script de creación de perfiles desde un sitio remoto para verificar si el sistema de la víctima podría infectarse al examinar las versiones de las credenciales de usuario del navegador. En este caso, afectó a la versión 65 o posterior de Google Chrome para Windows.
Si el sistema operativo y el navegador cumplen con los requisitos, el script descarga el exploit por fragmentos, después los ensambla y los descifra. Lo primero que hace este exploit es comprobar la versión de Chrome. En esta etapa, se vuelve más selectivo y funciona exclusivamente con Chrome 76 o 77, aunque es posible que existan otros exploits para las diferentes versiones del navegador.
Tras encontrar lo que busca, el exploit intenta aprovechar la vulnerabilidad CVE-2019-13720, de tipo use-after-free y que se basa en el uso inapropiado de la memoria del ordenador. Al manipular la memoria, el exploit obtiene permiso para leer y escribir datos en el dispositivo, que usa inmediatamente para descargar, descifrar y ejecutar el malware.
El exploit detectado ha sido utilizado en lo que los expertos de Kaspersky han denominado "Operación WizardOpium". Ciertas similitudes en el código apuntan a un posible vínculo entre esta campaña y los ataques del grupo Lazarus. Además, el perfil del sitio web objetivo es similar al que se ha encontrado en ataques previos de DarkHotel, que recientemente ha desplegado ataques similares de falsa bandera.
Consejos
Además de instalar este parche, la firma de seguridad recomienda tener siempre actualizado el software y aplicar los parches que vayan publicado, emplear soluciones de seguridad con con capacidades de detección basadas en el comportamiento y que detecten amenazas avanzadas a nivel de red en fase temprano.
También recuerda que los equipos de seguridad deben tener acceso a la información más reciente sobre ciberamenazas y que el personal cuente con la formación necesaria para comprender e implementar los principios básicos de higiene de ciberseguridad.
