CVE-2018-8589: otra vulnerabilidad de sistema operativo

16 Nov 2018

Hace un año escribimos sobre el descubrimiento del exploit de una vulnerabilidad en Microsoft Windows. Puede que te suene familiar, pero nuestras tecnologías proactivas han detectado otro exploit de día cero y, de nuevo, tienen como objetivo una vulnerabilidad previamente conocida en el sistema operativo. Esta vez, solo Windows 7 y Windows Server 2008 están en riesgo.

Pero esta limitación no hace menos peligrosa a la amenaza. Aunque Microsoft finalizó el soporte general de Windows Server 2008 en enero de 2015 y proporcionó una actualización gratuita en el lanzamiento de Windows 10, no todos se actualizaron. Por ello, los desarrolladores siguen proporcionando actualizaciones de seguridad y soporte para ambos sistemas (y deberían hacerlo hasta el 15 de enero del 2020) ya que todavía hay muchos clientes que lo necesitan.

Cuando se detectó el exploit, a finales de octubre, nuestros expertos informaron inmediatamente de la vulnerabilidad junto con una prueba de concepto a Microsoft, que respondió rápidamente con un parche el 13 de noviembre.

Qué debes saber sobre esta vulnerabilidad y su exploit correspondiente

Se trata una vulnerabilidad de día cero con elevación de privilegios en el driver win32k.sys. Con esta vulnerabilidad, los delincuentes pueden conseguir los privilegios necesarios para poder persistir en el sistema de la víctima.

Este exploit se ha utilizado en varios ataques APT, principalmente en la región de Oriente Medio, y su único objetivo eran las versiones de 32 bit de Windows 7. Encontrarás todos la información técnica en este artículo de Securelist. Si estás suscrito a nuestros informes de inteligencia de amenazas, contacta con intelreports@kaspersky.com para recibir todos los detalles del ataque.

Cómo mantenerte a salvo

No hay nada nuevo, pero no te pierdas nuestros consejos que debes de tener en cuenta en caso de vulnerabilidades:

  • Instala de inmediato el parche de Microsoft.
  • Actualiza regularmente todo el software que utiliza tu compañía.
  • Deja de utilizar software obsoleto antes de que finalice su soporte.
  • Utiliza productos de seguridad con evaluación de vulnerabilidades y parchea las capacidades de gestión para automatizar los procesos de actualización.
  • Utiliza una solución de seguridad completa equipada con habilidades de detección de comportamiento para una protección eficaz contra amenazas desconocidas, como los exploits de día cero.

Cabe destacar que, de nuevo, la detección de amenazas previamente desconocidas se debe a nuestras tecnologías proactivas: en concreto, al motor antimalware y el sandbox avanzado de Kaspersky Anti Targeted Attack Platform (una solución creada específicamente para proteger contra las amenazas APT) y la tecnología de prevención automática de exploits que conforma un subsistema integral de Kaspersky Endpoint Security for Business.