Explotan una vulnerabilidad zero-day de Windows recién parcheada

También puedes leer... DNS Security for Dummies Diez capas de seguridad para contenedores 20 Casos de uso de CASB Los riesgos de Blockchain Diez consejos sobre la gestión de Bots

La tecnología Automatic Exploit Prevention de Kaspersky Lab, integrada en la mayoría de las soluciones endpoint de la empresa, ha detectado una serie de ciberataques dirigidos, lanzados utilizando una nueva pieza de malware que explotó una vulnerabilidad zero-day previamente desconocida en el sistema operativo Microsoft Windows. La intención de los ciberdelincuentes era tener acceso persistente a los sistemas de víctimas en Oriente Medio. La vulnerabilidad ha sido parcheada por Microsoft el 9 de octubre.

Un ataque lanzado a través de una vulnerabilidad zero-day es una de las formas de ciberamenaza más peligrosas, ya que implica la explotación de una vulnerabilidad que aún no se ha descubierto ni solucionado. Si los actores de amenazas encuentran una pueden usarla para la creación de un exploit que abrirá el acceso a todo el sistema. Este escenario de ataque es ampliamente utilizado por actores sofisticados en los ataques APT, y se ha usado en este caso.

El exploit de Microsoft Windows descubierto llegó a las víctimas a través de un backdoor PowerShell. Luego se ejecutó para obtener los privilegios necesarios para mantener la persistencia en los sistemas de las víctimas. El código del malware era de alta calidad y fue escrito para permitir la explotación fiable de tantas versiones diferentes de Windows como fuera posible.

Los ciberataques se dirigieron a menos de una docena de organizaciones de Oriente Medio a finales del verano. Se sospecha que el actor detrás del ataque podría estar relacionado con el grupo FruityArmor, un actor de amenazas que ha utilizado exclusivamente un backdoor PowerShell en el pasado. Tras el descubrimiento, los expertos de Kaspersky Lab informaron de inmediato de la vulnerabilidad a Microsoft.