Las tecnologías automatizadas de Kaspersky Lab han detectado una nueva vulnerabilidad en Microsoft Windows que se cree fue utilizada al menos por dos agentes de amenazas, incluido SandCat, recientemente descubierto. Este es el cuarto ataque de día cero en propagación libre que ha sido descubierto por la tecnología de Prevención Automática de Explotación de Vulnerabilidades creada por Kaspersky Lab. La vulnerabilidad CVE-2019-0797 fue reportada a Microsoft, la cual ha emitido un parche.
Las vulnerabilidades de día cero son errores de software no conocidos que pueden ser explotados por los atacantes para violar el dispositivo y la red de la víctima. El nuevo ataque utiliza una vulnerabilidad en el subsistema gráfico de Microsoft Windows para obtener privilegios locales. Esto le proporciona al atacante un control total sobre la computadora de la víctima. La muestra de malware examinada por los investigadores de Kaspersky Lab revela que la vulnerabilidad tiene como objetivos las versiones del sistema operativo Windows 8 a Windows 10.
Los investigadores creen que el tipo de ataque detectado podría haber sido utilizado por varios agentes de amenazas que incluyen a FruityArmor y SandCat, pero posiblemente no se limitan a estos. Se sabe que FruityArmor ha usado vulnerabilidades de día cero en el pasado, mientras que SandCat es un agente de amenazas descubierto recientemente.
“El descubrimiento de una nueva vulnerabilidad de día cero para Windows que se propaga activa y libremente muestra que este tipo de herramientas poco comunes y costosas siguen siendo de gran interés para los agentes de amenazas, y las organizaciones necesitan soluciones de seguridad que puedan protegerlas contra amenazas desconocidas. También reafirma la importancia de la colaboración entre la industria de la seguridad y los programadores de software: la búsqueda de errores, la divulgación responsable y la aplicación rápida de parches son las mejores maneras de mantener a los usuarios a salvo de amenazas nuevas y emergentes”, dijo Anton Ivanov, experto en seguridad en Kaspersky Lab.
La vulnerabilidad explotada fue detectada por la tecnología de Prevención Automática de Explotación de Vulnerabilidades creada por Kaspersky Lab e integrada en la mayoría de los productos de la compañía.
Los productos de Kaspersky Lab detectan la explotación de esta vulnerabilidad como:
Kaspersky Lab recomienda tomar las siguientes medidas de seguridad:
Instalar el parche de Microsoft para la nueva vulnerabilidad lo antes posible.
Para más detalles sobre esta nueva vulnerabilidad vea el informe en Securelist. Para observar más de cerca las tecnologías que detectaron éste y otras vulnerabilidades de día cero en Microsoft Windows, en un seminario web de Kaspersky Lab está disponible bajo demanda.