Detectados dos exploits de día cero contra IE 11 y Windows 10

A finales de la primavera de 2020, las tecnologías de detección automatizada de Kaspersky impidieron un ataque dirigido a una empresa surcoreana. Un análisis más detallado reveló que este ataque utilizaba una cadena completa desconocida hasta entonces que consistía en dos exploits de día cero: uno de ejecución de código en remoto para Internet Explorer 11 y otro de elevación de privilegios (EoP) que tenía como objetivo las últimas versiones de Windows 10.

El primer exploit para Internet Explorer, que fue denominado como CVE-2020-1380, es un Use-After-Free, un tipo de vulnerabilidad que permite la ejecución completa de código a distancia. Sin embargo, como Internet Explorer funciona en un entorno aislado, los atacantes necesitaban más privilegios en la máquina infectada, por lo que requerían del segundo exploit, encontrado en Windows. Este exploit de elevación de privilegios (EoP) se referenció como CVE-2020-0986 y utilizaba una vulnerabilidad en el servicio de impresión que permitió a los atacantes ejecutar código arbitrario en la máquina de la víctima.

"Un aspecto particularmente interesante en este ataque en concreto es que los exploits que encontramos anteriormente se centraban en la elevación de los privilegios. Sin embargo, este caso incluye un exploit con capacidades de ejecución de código remoto, que es más peligroso. Junto con la capacidad de afectar a las últimas versiones de Windows 10, el ataque descubierto es algo realmente excepcional hoy en día. Nos recuerda una vez más que debemos invertir en tecnologías de inteligencia de amenazas y de protección reconocidas y probadas para poder detectar proactivamente las últimas amenazas de día cero", comenta Boris Larin, experto en seguridad de Kaspersky.

Los expertos de Kaspersky tienen un nivel de confianza bajo en que el ataque pueda atribuirse a DarkHotel, basándose en algunas similitudes entre el nuevo exploit y otros previamente descubiertos que se atribuyen a este actor de amenazas.