{"id":25457,"date":"2021-06-09T14:32:16","date_gmt":"2021-06-09T12:32:16","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=25457"},"modified":"2021-06-09T14:32:17","modified_gmt":"2021-06-09T12:32:17","slug":"chrome-windows-zero-day","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/chrome-windows-zero-day\/25457\/","title":{"rendered":"PuzzleMaker y los ataques dirigidos contra varias empresas"},"content":{"rendered":"<p>Las tecnolog\u00edas de detecci\u00f3n de amenazas de comportamiento y prevenci\u00f3n de <em>exploits<\/em> en <a href=\"https:\/\/www.kaspersky.es\/small-to-medium-business-security?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Endpoint Security for Business<\/a> han identificado una ola de ataques dirigidos a varias empresas.<\/p>\n<p>Estos ataques utilizaban una cadena de <em>exploits<\/em> de d\u00eda cero del navegador Chrome de Google y las vulnerabilidades de Microsoft Windows. Por ahora, los parches para las vulnerabilidades est\u00e1n disponibles (en una actualizaci\u00f3n de Microsoft lanzada el 8 de junio), por lo que recomendamos a todo el mundo que actualice tanto el navegador como el sistema operativo. Al actor de amenazas que est\u00e1 detr\u00e1s de estos ataques lo llamamos PuzzleMaker.<\/p>\n<h2>\u00bfQu\u00e9 tienen de peligrosos los ataques de PuzzleMaker?<\/h2>\n<p>Los atacantes utilizan una vulnerabilidad de Google Chrome para ejecutar c\u00f3digo malicioso en la m\u00e1quina de destino. Para <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/sandbox-escape\/\" target=\"_blank\" rel=\"noopener\">escapar del \u201c<em>sandbox\u201d<\/em><\/a>, entorno aislado de pruebas, y obtener privilegios del sistema, hacen uso de dos vulnerabilidades de Windows 10. Proceden a cargar el primer m\u00f3dulo de <em>malware<\/em>, el llamado <em>stager<\/em>, en la m\u00e1quina de la v\u00edctima junto con un bloque de configuraci\u00f3n personalizado (direcci\u00f3n del servidor de comandos, ID de sesi\u00f3n, claves de descifrado para el siguiente m\u00f3dulo, etc.).<\/p>\n<p>El <em>stager<\/em> notifica a los atacantes sobre la infecci\u00f3n y descarga y descifra un m\u00f3dulo <em><a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/trojan-droppers\/\" target=\"_blank\" rel=\"noopener\">dropper<\/a><\/em>, que, a su vez, instala dos ejecutables que hace pasar por leg\u00edtimos. El primero, WmiPrvMon.ex\u0435, se registra como servicio y ejecuta el segundo, wmimon.dll. Este segundo ejecutable es la <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/payload\/\" target=\"_blank\" rel=\"noopener\">carga<\/a> \u00fatil principal del ataque, dise\u00f1ado como un <em>shell<\/em> remoto.<\/p>\n<p>Los atacantes usan ese <em>shell,<\/em>\u00a0o int\u00e9rprete de comandos, para disfrutar del control total de la m\u00e1quina objetivo. Pueden cargar y descargar archivos, crear procesos, hibernar durante un per\u00edodo de tiempo espec\u00edfico e incluso eliminar cualquier rastro de ataque en la m\u00e1quina. Este componente de <em>malware<\/em> se comunica con el servidor de comandos a trav\u00e9s de una conexi\u00f3n cifrada.<\/p>\n<h2>\u00bfQu\u00e9 <em>exploits<\/em> y vulnerabilidades utiliza PuzzleMaker?<\/h2>\n<p>Desafortunadamente, nuestros expertos no pudieron analizar el <em><a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/remote-code-execution-rce\/\" target=\"_blank\" rel=\"noopener\">exploit de ejecuci\u00f3n remota de c\u00f3digo<\/a><\/em> que PuzzleMaker utiliz\u00f3 para atacar Google Chrome, pero completaron una investigaci\u00f3n exhaustiva y concluyeron que los atacantes probablemente se basaran en la vulnerabilidad <a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2021-21224\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-21224<\/a>. Si est\u00e1s interesado en c\u00f3mo y por qu\u00e9 llegaron a esta conclusi\u00f3n, te recomendamos que leas sus razonamientos en esta <a href=\"https:\/\/securelist.com\/puzzlemaker-chrome-zero-day-exploit-chain\/102771\/\" target=\"_blank\" rel=\"noopener\">publicaci\u00f3n de Securelist<\/a>. En cualquier caso, Google lanz\u00f3 un parche para esta vulnerabilidad el 20 de abril del 2021, menos de una semana despu\u00e9s de que descubri\u00e9ramos la ola de ataques.<\/p>\n<p>El <em>exploit<\/em> que permite la escalada de privilegios utiliza dos vulnerabilidades de Windows 10 a la vez. La primera, <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-31955\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-31955<\/a>, es una vulnerabilidad de divulgaci\u00f3n de informaci\u00f3n en el archivo ntoskrnl.exe. El <em>exploit<\/em> lo utilizaba para determinar las direcciones del n\u00facleo de la estructura EPROCESS para los procesos ejecutados. La segunda vulnerabilidad, <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-31956\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-31956<\/a>, se encuentra en el <em>driver<\/em> ntfs.sys y pertenece a la clase de vulnerabilidades de <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/heap-overflow-attack\/\" target=\"_blank\" rel=\"noopener\">desbordamiento de mont\u00edculo<\/a>. Los delincuentes la usaban junto con la funci\u00f3n de notificaci\u00f3n de Windows para leer y escribir datos en la memoria. Este <em>exploit<\/em> funciona en las compilaciones m\u00e1s comunes de Windows 10: 17763 (Redstone 5), 18362 (19H1), 18363 (19H2), 19041 (20H1) y 19042 (20H2). La compilaci\u00f3n 19043 (21H1) tambi\u00e9n es vulnerable, aunque nuestras tecnolog\u00edas no han detectado ataques en esta versi\u00f3n, que fue lanzada despu\u00e9s de que detect\u00e1ramos PuzzleMaker. En <a href=\"https:\/\/securelist.com\/puzzlemaker-chrome-zero-day-exploit-chain\/102771\/\" target=\"_blank\" rel=\"noopener\">esta publicaci\u00f3n<\/a>, Securelist ofrece una descripci\u00f3n t\u00e9cnica detallada y una lista con los indicadores de compromiso.<\/p>\n<h2>C\u00f3mo protegerse contra este y otros ataques similares<\/h2>\n<p>Para salvaguardar la seguridad de tu empresa contra las vulnerabilidades utilizadas en el ataque PuzzleMaker, primero actualiza Chrome e instala (desde el <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-31956\" target=\"_blank\" rel=\"noopener nofollow\">sitio web<\/a> de <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-31955\" target=\"_blank\" rel=\"noopener nofollow\">Microsoft<\/a>) los parches del sistema operativo que abordan las vulnerabilidades CVE-2021-31955 y CVE-2021-31956.<\/p>\n<p>Dicho esto, para evitar la amenaza de otras vulnerabilidades de d\u00eda cero, todo tipo de empresa necesita utilizar productos de ciberseguridad que puedan detectar dichos intentos de explotaci\u00f3n mediante el an\u00e1lisis de comportamientos sospechosos. Por ejemplo, nuestros productos detectaron este ataque utilizando la tecnolog\u00eda del motor de detecci\u00f3n de comportamiento y el subsistema de prevenci\u00f3n de exploits en <a href=\"https:\/\/www.kaspersky.es\/small-to-medium-business-security?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Endpoint Security for business<\/a>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb\">\n","protected":false},"excerpt":{"rendered":"<p>Nuestras tecnolog\u00edas han detectado varios ataques dirigidos que implicaban una serie de exploits de d\u00eda cero.<\/p>\n","protected":false},"author":700,"featured_media":25459,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754,2755],"tags":[13,412,784,23],"class_list":{"0":"post-25457","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-chrome","11":"tag-exploits","12":"tag-vulnerabilidades","13":"tag-windows"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/chrome-windows-zero-day\/25457\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/chrome-windows-zero-day\/22945\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/chrome-windows-zero-day\/18438\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/chrome-windows-zero-day\/24889\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/chrome-windows-zero-day\/22882\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/chrome-windows-zero-day\/22099\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/chrome-windows-zero-day\/24893\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/chrome-windows-zero-day\/30891\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/chrome-windows-zero-day\/9728\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/chrome-windows-zero-day\/40191\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/chrome-windows-zero-day\/17104\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/chrome-windows-zero-day\/17609\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/chrome-windows-zero-day\/14905\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/chrome-windows-zero-day\/26918\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/chrome-windows-zero-day\/31022\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/chrome-windows-zero-day\/27149\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/chrome-windows-zero-day\/24006\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/chrome-windows-zero-day\/29322\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/chrome-windows-zero-day\/29126\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/vulnerabilidades\/","name":"vulnerabilidades"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/25457","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=25457"}],"version-history":[{"count":6,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/25457\/revisions"}],"predecessor-version":[{"id":25464,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/25457\/revisions\/25464"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/25459"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=25457"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=25457"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=25457"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}