vulnerabilidades

CVE-2019-0859: una vulnerabilidad de día cero en Windows

Nuestras tecnologías de seguridad proactiva han descubierto un intento de exploit de otra vulnerabilidad de día cero en win32k.sys.

Pavel Shoshin
15 Abr 2019

A principios de marzo, nuestras tecnologías de seguridad proactivas descubrieron un intento de explotación de una vulnerabilidad en Microsoft Windows. El análisis reveló una vulnerabilidad de día cero en nuestro viejo amigo win32k.sys, en el que ya se han detectado vulnerabilidades similares en otras cuatro ocasiones. Informamos al desarrollador sobre el problema y este solucionó la vulnerabilidad con un parche que se lanzó el 10 de abril.

¿A qué nos enfrentamos?

CVE-2019-0859 es una vulnerabilidad de tipo Use-After-Free en la función del sistema que se encarga de las ventanas de diálogo o, siendo más concretos, de sus estilos adicionales. El patrón del exploit descubierto en activo se dirigía a los sistemas operativos con versiones de 64 bits, desde Windows 7 hasta los últimos Windows 10. La explotación de la vulnerabilidad permite al malware descargar y ejecutar un script desarrollado por los atacantes que, en el peor de los casos, acaba con el control total del ordenador infectado.

O, al menos, así es cómo este grupo de APT sin identificar intentó utilizarla. Con esta vulnerabilidad, consiguieron los privilegios necesarios como para instalar una puerta trasera creada con Windows PowerShell. En teoría, esto debería permitir que los cibercriminales permanecieran ocultos. Esta carga se subió mediante la puerta trasera, gracias a la cual los cibercriminales consiguieron acceso total a todo el ordenador infectado. No te pierdas esta publicación en Securelist para más información sobre el funcionamiento del exploit.

Cómo mantenerte protegido

Ya hemos hablado en otras ocasiones de los siguientes métodos de protección, no hay nada nuevo que añadir:

Primero, instala la actualización de Microsoft para cerrar la vulnerabilidad.
Actualiza de forma periódica todo el software que se utiliza en tu compañía, sobre todo, intenta que los sistemas operativos siempre tengan instaladas las últimas versiones.
Utiliza soluciones de seguridad con tecnologías de análisis de comportamiento que puedan detectar incluso las amenazas desconocidas.

El exploit de la vulnerabilidad CVE-2019-0859 se identificó inicialmente con las tecnologías de prevención automática de exploits y el motor de detección de comportamiento, que forma parte de nuestra solución Kaspersky Endpoint Security for Business.

Si tus administradores o equipo de seguridad de la información necesitan más información sobre los métodos empleados para detectar amenazas de día cero en Microsoft, recomendamos que no se pierdan este seminario online.

El domain fronting y las comunicaciones ocultas de los ciberdelincuentes

Recordamos una de las charlas del RSAC 2019 sobre el domain fronting utilizado para ocultar comunicaciones entre un dispositivo infectado y un servidor de mando.

Privacidad y niños

CVE-2019-0859: una vulnerabilidad de día cero en Windows

¿A qué nos enfrentamos?

Cómo mantenerte protegido

KeyTrap: cómo romper un servidor DNS con un único paquete

Publicada una vulnerabilidad en la biblioteca Glibc

El domain fronting y las comunicaciones ocultas de los ciberdelincuentes

Consejos

Lluvia de bitcoins: Falso regalo de Nvidia

Te chantajean porque te han pillado viendo porno

Nueve hábitos online que deberías cambiar

6 consejos para conseguir trabajo en la industria de la ciberseguridad (y tener éxito)

Suscríbete para recibir nuevas publicaciones en tu buzón

Soluciones domésticas

Para pequeñas empresas

Para empresas medianas

Para empresas grandes

Securelist

Eugene Personal Blog

Enciclopedia