Se descubre un misterioso Zero Day en Microsoft Silverlight

0

Kaspersky Lab ha descubierto una vulnerabilidad zero-day en Microsoft Silverlight, una tecnología web que se utiliza para mostrar contenido multimedia online. Los exploits de zero-day son los preferidos por los ciberdelincuentes debido a que atacan vulnerabilidades desconocidas para los fabricantes de software y por lo tanto las compañías de antivirus tampoco saben acerca de ellas. Esta hazaña puede permanecer sin ser detectada durante años antes de que sean descubiertas. La vulnerabilidad encontrada permitía a los ciberdelincuentes obtener acceso completo a un equipo comprometido y ejecutar código malicioso para robar información secreta y realizar otras acciones ilegales. La vulnerabilidad se encontró en el último parche de actualización emitido por Microsoft el 12 de enero.

En el verano de 2015 saltó a los medios el ataque contra Hacking Team, una empresa desarrolladora de «spyware legal». Uno de los artículos sobre el tema, publicado en Ars Technica, mencionaba el supuesto filtrado de correo entre los representantes de Hacking Team y Vitaliy Toropov, un exploit-writer independiente. Entre otros temas, el artículo hacía referencia a los correos con los que Toropov intentaba vender un zero-day a Hacking Team: un exploit de cuatro años y aún sin parchear de tecnología Microsoft Silverlight. Este dato despertó el interés de los analistas de Kaspersky Lab que, comenzaron la investigación utilizando el nombre del vendedor.

Kaspersky-MS-Silverlight-exploitRápidamente descubrieron que un usuario que se hacía llamar Vitaliy Toropov era un colaborador muy activo en Open Source Vulnerability Database, un sitio donde cualquiera puede publicar información sobre vulnerabilidades. Mediante el análisis de su perfil público en OSVBD.org, los investigadores de Kaspersky Lab descubrieron que en 2013, Toropov había publicado  un POC, que describía un error en la tecnología Silverlight. El POC cubría una vieja vulnerabilidad conocida y parcheada. Sin embargo, también contenía detalles adicionales sobre cómo el autor del exploit escribía los códigos.

Se llegó a la conclusión de que, si Toropov había tratado de vender un exploit zero-day de Hacking Team, era muy probable que hubiera hecho lo mismo con otros proveedores de software espía. Por ello, se crearon varias reglas de detección para las tecnologías de protección para comprobar si se estaban utilizándolo activamente para atacar e infectar a víctimas desprevenidas. Algunas secuencias en el código llamaron la atención así que, cuando un usuario que compartía datos de amenazas en Kaspersky Security Network detectaba el software malicioso que demostraba el comportamiento oculto, el sistema marcaba el archivo como altamente sospechoso y se enviaba una notificación a la empresa para su análisis.

“No sabemos si el exploit que descubrimos es, de hecho, el que se mencionaba en el artículo de Ars Technica, pero tenemos motivos de peso para creer que sí lo es», afirma Costin Raiu, director del GREAT de Kaspersky Lab, -a lo que añade- «La comparación del análisis de este archivo con el trabajo previo de Vitaliy Toropov nos hace pensar que el autor del exploit descubierto y el autor de los POC publicados en OSVDB en nombre de Toropov es la misma persona. Pero, no se descarta la posibilidad de que se encuentre otro exploit zero-day en Silverlight por lo que se anima a todos los usuarios de los productos de Microsoft a que actualicen sus sistemas lo antes posible para solucionar esta vulnerabilidad.

About Author

Responsable de Globb Security France y España. Periodista, Comunicadora Audiovisual y editora. Antes de unirse a GlobbTV, desarrolló la mayor parte de su carrera profesional en el grupo editorial de Madiva. Twitter: @Drodriguezleal.

Leave A Reply