A principios de 2021, y tras analizar más a fondo el exploit CVE-2021-1732 ya reportado y utilizado por el grupo de APT BITTER, los investigadores de Kaspersky han logrado descubrir otra vulnerabilidad de día cero en Desktop Windows Manager. Los expertos no pueden por el momento vincular este exploit a ningún actor de amenaza conocido.
Una vulnerabilidad o exploit de día cero es básicamente un error de software desconocido. Una vez identificados y descubiertos, permiten a los atacantes realizar actividades maliciosas en la sombra, con consecuencias inesperadas y destructivas.
Mientras analizaban el exploit CVE-2021-1732, los expertos de Kaspersky encontraron otra vulnerabilidad de día cero de este tipo y lo comunicaron a Microsoft en febrero. Tras confirmar que se trataba efectivamente de un día cero, recibió la denominación CVE-2021-28310.
Según los investigadores, esta vulnerabilidad se usa “in-the-wild”, potencialmente por varios actores de amenaza. Se trata de un exploit de escalada de privilegios (EoP), encontrado en Desktop Windows Manager, que permite a los atacantes ejecutar código arbitrario en la computadora de la víctima.
Es probable que la vulnerabilidad se utilice junto con otros exploits del navegador para escapar del sandbox u obtener privilegios del sistema para un mayor acceso. La investigación inicial de Kaspersky no ha revelado la cadena de infección completa, por lo que aún no se sabe si el exploit se utiliza con otro día cero o se combina con vulnerabilidades conocidas y parcheadas.
«El exploit fue identificado inicialmente por nuestra tecnología de prevención de exploits y los registros de detección correspondientes», comenta Boris Larin, experto en seguridad de Kaspersky.
El 13 de abril de 2021 se publicó un parche para la vulnerabilidad de elevación de privilegios CVE-2021-28310.
Los productos de Kaspersky detectan este exploit con los siguientes veredictos:
- HEUR:Exploit.Win32.Generic
- HEUR:Trojan.Win32.Generic
- PDM:Exploit.Win32.Generic
Para mantenerse a salvo de esta amenaza, Kaspersky recomienda tomar las siguientes medidas de seguridad:
- Instalar los parches para la nueva vulnerabilidad lo antes posible. Una vez descargados, los ciberdelincuentes ya no pueden abusar de la vulnerabilidad.
- Las capacidades de gestión de vulnerabilidades y parches de una solución de protección para endpoints pueden simplificar considerablemente la tarea de los responsables de seguridad informática.
- Proporcione a su equipo SOC acceso a la última inteligencia sobre amenazas (IA).
- Además de adoptar la protección básica para endpoints, implemente una solución de seguridad corporativa que detecte las amenazas avanzadas a nivel de red en una etapa temprana.