Descubren dos 0-day que iban a utilizarse en exploits aún en desarrollo

El juego del gato y el ratón en el que suelen participar los creadores de malware y los investigadores especializados en seguridad informática suele dejarnos noticias interesantes. En ocasiones vemos como incluso los delincuentes llegan a dejar mensajes dirigidos a ciertos expertos en análisis de malware o empresas de seguridad dentro del código malicioso. Sin embargo, estos delincuentes también son humanos y cometen errores como el que vamos a analizar hoy.

0-day descubiertos antes de que fueran utilizados

La importancia de adelantarse a las acciones de los delincuentes resulta crucial para tratar de proteger a la mayor cantidad de usuarios posible. Eso lo saben bien los investigadores de las múltiples empresas de seguridad existentes, y por eso cada día revisan cientos de miles de muestras en busca de información que les lleve a detectar amenazas que destaquen sobre el resto.

A finales de marzo de 2018, investigadores de ESET obtuvieron y analizaron una muestra de código malicioso camuflada en un fichero PDF. La investigación de esa muestra demostró que  se aprovechaba de dos vulnerabilidades desconocidas hasta el momento: una ejecución de código remoto en Adobe Reader y una vulnerabilidad que permitía la escalada de privilegios en Windows.

Tal y como sucedía en las vulnerabilidades corregidas por Microsoft en sus boletines de mayo, el uso combinado de estas dos vulnerabilidades es muy peligroso, puesto que permitiría a un atacante ejecutar código arbitrario con los permisos más altos del sistema objetivo y sin apenas interacción del usuario. Este tipo de vulnerabilidades son muy apreciadas por aquellos grupos que utilizan amenazas persistentes y avanzadas (APT por sus siglas en inglés), ya que les facilitan mucho las cosas a la hora de conseguir sus objetivos.

Desde ESET se avisó al Microsoft Security Response Center, al equipo de investigación de Windows Defender ATP y al Adobe Product Security Incident Response Team, y trabajaron junto a ellos para solucionar las vulnerabilidades descubiertas. Actualmente, pueden encontrarse los parches correspondientes tanto por parte de Microsoft como de Adobe.

Analizando las muestras

Los investigadores de ESET liderados por Anton Cherepanov descubrieron el archivo PDF cuando este fue subido a un repositorio público de muestras. Estos repositorios son utilizados por analistas de malware de todo el mundo para subir sus muestras y descargar aquellas que les resulten interesantes. Los delincuentes suelen utilizar servicios privados para evitar compartir sus creaciones, y por eso mismo resulta curioso que los delincuentes subieran su malware en desarrollo a un repositorio público, aunque es perfectamente posible que lo subieran por accidente.

La muestra obtenida no contenía carga maliciosa, lo que podría significar que se descubrió durante una fase temprana de su desarrollo. A pesar de eso, la forma en la que estaba siendo desarrollada demuestra que los delincuentes detrás de su creación tenían un alto nivel en el descubrimiento de vulnerabilidades y en el diseño de exploits.

Tras el análisis se descubrió que los sistemas y aplicaciones vulnerables eran Windows 7, Windows Server 2008 y 2008 R2 por parte de Microsoft, y las aplicaciones Acrobat DC, Reader, y Acrobat 2017 en varias de sus versiones.

Gracias a la investigación realizada por Cherepanov en ESET, podemos conocer los detalles técnicos de cómo los atacantes podrían aprovechar las vulnerabilidades descubiertas en el artículo publicado en el blog oficial de la empresa.

Conclusión

El descubrimiento de estas dos vulnerabilidades 0-day antes de que pudieran ser aprovechadas por grupos de atacantes ha permitido evitar incidentes de seguridad de consecuencias desconocidas. Una vez más se demuestra la importancia de contar con especialistas con experiencia que puedan detectar este tipo de muestras como parte vital en el esquema de ciberseguridad actual.

Josep Albors