Llegamos a ustedes gracias a:



Alertas de Seguridad

A la caza de un Día Cero

Kaspersky Lab descubre vulnerabilidad en Silverlight

[14/01/2016] Kaspersky Lab ha descubierto una vulnerabilidad de día cero en Silverlight, una tecnología web que se utiliza para mostrar contenido multimedia. La vulnerabilidad permitiría a un atacante obtener acceso completo a una computadora comprometida, y ejecutar código malicioso para robar información confidencial y realizar otras acciones ilegales. La vulnerabilidad (CVE-2016-0034) fue remediada en el último Parche de Actualización del martes emitido por Microsoft el 12 de enero del 2016. El descubrimiento fue el resultado de una investigación que comenzó hace más de cinco meses a partir de un artículo publicado por Ars Technica.

"En el verano del 2015 una historia sobre el ataque de hackers contra la compañía Hacking Team (un desarrollador conocido de 'spyware legal') llegó a los medios. Uno de los artículos sobre el tema, publicado en Ars Technica, mencionó correspondencia filtrada supuestamente entre representantes de Hacking Team y Vitaliy Toropov, un creador de exploits independiente. Entre otras cosas, el artículo mencionaba la correspondencia en la que Toropov intentó vender una vulnerabilidad día cero particularmente interesante a Hacking Team: un exploit de cuatro años de antigüedad y aún sin parchar en la tecnología Silverlight de Microsoft. Este dato despertó nuestro interés, comentó Costin Raiu, director del Equipo de Análisis e Investigación Global de Kaspersky Lab.

El ejecutivo añadió que no había información adicional acerca del exploit en el artículo, así que comenzaron su investigación utilizando el nombre del vendedor. "Rápidamente descubrimos que un usuario, que se nombró a sí mismo Vitaliy Toropov, era un colaborador muy activo de 'Open Source Vulnerability Database' (OSVDB), un lugar donde cualquiera puede publicar información sobre vulnerabilidades. Mediante el análisis de su perfil público en OSVBD.org, descubrimos que, en el 2013, Toropov había publicado una prueba de concepto (POC), la cual describía un error en la tecnología Silverlight. La prueba de concepto cubría una vieja vulnerabilidad que era conocida y actualmente parchada. Sin embargo, también contenía detalles adicionales que nos dieron una pista acerca de cómo el autor del exploit escribe código, indicó Raiu.

Durante el análisis realizado por Kaspersky Lab sobresalieron algunas cadenas únicas en el código. "Con esta información se crearon varias reglas de detección para las tecnologías de protección de Kaspersky Lab: una vez que un usuario, que accedía a compartir datos de amenazas con Kaspersky Security Network (KSN), encontraba software malicioso que demostraba el comportamiento cubierto por dichas reglas especiales de detección, el sistema       marcaba el archivo como altamente sospechoso y le enviaba una notificación a la empresa para su análisis. La lógica detrás de esta táctica era simple: si Toropov trató de vender un exploit día cero a Hacking Team, era muy probable que haya hecho lo mismo con otros proveedores de spyware. Como resultado de esta actividad, otras campañas cibernéticas de espionaje podrían estar usándolo activamente para atacar e infectar a víctimas desprevenidas, señaló Raiu.

De acuerdo al ejecutivo, la suposición fue correcta. Varios meses después de la implementación de las reglas especiales de detección, un cliente de Kaspersky Lab fue blanco de un ataque que utilizó un archivo sospechoso con las características que se estaban buscando. "Varias horas después, alguien (posiblemente una víctima de los ataques) de Laos subió un archivo con las mismas características a un servicio multiscanner. Analizamos el ataque y descubrimos que en realidad estaba aprovechando un error desconocido en la tecnología Silverlight. La información sobre el error se informó inmediatamente a Microsoft para su validación, añadió el analista de Kaspersky Lab.

"Aunque no sabemos si el exploit que descubrimos es, de hecho, el que fue mencionado en el artículo de Ars Technica, tenemos fuertes razones para creer que es el mismo. Comparando el análisis de este archivo con el trabajo previo de Vitaliy Toropov nos hace pensar que el autor del exploit recién descubierto, y el autor de las pruebas de concepto publicados en OSVDB a nombre de Toropov, son la misma persona. Al mismo tiempo, no excluimos por completo la posibilidad de que hayamos descubierto otro exploit día cero en Silverlight. En general, esta investigación ayudó a hacer el ciberespacio un poco más seguro mediante el descubrimiento de un día cero y revelarlo de manera responsable. Alentamos a todos los usuarios de productos Microsoft para que actualicen sus sistemas lo más pronto posible para parchar esta vulnerabilidad", finalizó el ejecutivo.

CIO, Perú