martes, 22 de mayo de 2018

Cómo explotar dos vulnerabilidades de día cero simultáneamente en un solo ataque: ataque unicornio


En un caso poco común alguien logro desarrollar un ataque de malware que, con un clic, explota vulnerabilidades separadas de día cero en dos piezas de software diferentes. De acuerdo con expertos en seguridad informática, esto es precisamente lo que ocurrió con un documento PDF malicioso diseñado para atacar las vulnerabilidades no parcheadas tanto en Adobe Reader y versiones anteriores de Microsoft Windows.

Hoy en día, las aplicaciones suelen contener “sandboxes”, además de otras defensas para hacer más difícil para los exploits ejecutar un código malicioso en los dispositivos. Cuando las protecciones funcionan según lo previsto, los ataques de desbordamiento del búfer y otras vulnerabilidades comunes del software resultan en un bloqueo de la aplicación y no en un evento de seguridad catastrófico. Las defensas requieren que los atacantes vinculen dos o más exploits: uno ejecuta código malicioso y otro exploit permite que el código salga del “sandbox”.

Un analista de Eset encontró un documento PDF que ignoro las protecciones cuando Reader se ejecutó en versiones anteriores de Windows. Explotó una vulnerabilidad de corrupción de memoria, llamada “doble libre”, en Reader que permite obtener una capacidad limitada para leer y escribir en la memoria. Pero a la hora de instalar programas, el PDF necesitaba una forma de eludir la “sandbox” para que el código se ejecutara en partes sensibles del sistema operativo.

De acuerdo con expertos en seguridad informática, la solución era combinar un ataque separado que explotaba una vulnerabilidad de escalamiento de privilegios desconocida en sistemas operativos de Microsoft anteriores a Windows 8. Estas  vulnerabilidades de escalamiento de privilegios podían permitir que usuarios con derechos limitados del sistema obtengan acceso sin restricciones a los recursos sensibles de un sistema operativo. Con un clic en el PDF se instalo el malware en computadoras Windows 7 y Server 2008.

“Es bastante raro tener un exploit en una pieza de software que se combina con una vulnerabilidad de día cero para el sistema operativo con el fin de escapar de la protección sandboxing”, dijo Jérôme Segura, investigador de seguridad informática en Malwarebytes.

A principios del año pasado, los profesionales desempacaron un exploit en dos componentes diferentes usando un archivo malicioso de Microsoft Word que tuvo como objetivo el personal de Emmanuel Macron. Eset comento, que el archivo DOCX explotó una vulnerabilidad de ejecución remota de código en Word y una falla de escalamiento de privilegios local en Windows. El documento fue usado para instalar malware de vigilancia utilizado por Fancy Bear.

wind hack 1

Esta vez el PDF se encontró en VirusTotal. El cuerpo del documento solo decía “muestra de PDF”. Malwarebytes y Eset cargaron el archivo para probar si varios proveedores de antivirus lo podían detectar.

Expertos en seguridad informática comentaron, que en lugar de instalar malware, el archivo descargó e instaló un programa de cálculo. Antes de que los atacantes pudieran usar el PDF, Eset reportó las vulnerabilidades a Microsoft y Adobe.