{"id":26246,"date":"2021-10-18T16:29:51","date_gmt":"2021-10-18T14:29:51","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=26246"},"modified":"2021-10-18T16:29:51","modified_gmt":"2021-10-18T14:29:51","slug":"mysterysnail-cve-2021-40449","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/mysterysnail-cve-2021-40449\/26246\/","title":{"rendered":"MysterySnail se cuela a trav\u00e9s de una vulnerabilidad de d\u00eda cero"},"content":{"rendered":"<p>Nuestras tecnolog\u00edas Behavioral Detection Engine and Exploit Prevention recientemente detectaron la explotaci\u00f3n de una vulnerabilidad en el <em>driver<\/em> kernel Win32k, lo que deriv\u00f3 en una investigaci\u00f3n de toda la operaci\u00f3n cibercriminal detr\u00e1s de la explotaci\u00f3n. Informamos de la vulnerabilidad (<a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2021-40449\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-40449<\/a>) a Microsoft y estos la repararon en una actualizaci\u00f3n regular lanzada el 12 de octubre. Por tanto, como es habitual despu\u00e9s de cada Martes de parches, recomendamos <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-40449\" target=\"_blank\" rel=\"noopener nofollow\">actualizar Microsoft Windows<\/a> lo antes posible.<\/p>\n<h2>Para qu\u00e9 se utiliz\u00f3 la CVE-2021-40449<\/h2>\n<p>La CVE-2021-40449 es una <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/use-after-free\/\" target=\"_blank\" rel=\"noopener\">vulnerabilidad de tipo <em>use-after-free<\/em><\/a> en la funci\u00f3n NtGdiResetDC del <em>driver<\/em> Win32k. En nuestra <a href=\"https:\/\/securelist.com\/mysterysnail-attacks-with-windows-zero-day\/104509\/\" target=\"_blank\" rel=\"noopener\">publicaci\u00f3n de Securelist<\/a> encontrar\u00e1s una descripci\u00f3n m\u00e1s t\u00e9cnica y detallada, pero, en resumen, esta vulnerabilidad da lugar a la filtraci\u00f3n de direcciones del m\u00f3dulo del kernel en la memoria del ordenador. Despu\u00e9s, los ciberdelincuentes pueden utilizar esta filtraci\u00f3n para elevar los privilegios de otros procesos maliciosos.<\/p>\n<p>Mediante esta escalaci\u00f3n de privilegios, los atacantes pudieron descargar y lanzar MysterySnail, un <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/rat-remote-access-tools\/\" target=\"_blank\" rel=\"noopener\">troyano de acceso remoto (RAT)<\/a> mediante el cual los atacantes obtienen acceso al sistema de la v\u00edctima.<\/p>\n<h2>Qu\u00e9 hace MysterySnail<\/h2>\n<p>Este troyano comienza por reunir informaci\u00f3n sobre el sistema infectado y la env\u00eda al servidor de mando y control. Entonces, mediante MysterySnail, los atacantes pueden emitir varios comandos. Por ejemplo, pueden crear, leer o eliminar un archivo en espec\u00edfico, crear o eliminar un proceso, obtener una lista de directorio o abrir un canal <em>proxy<\/em> y enviar datos mediante este.<\/p>\n<p>Las dem\u00e1s funciones de MysterySnail incluyen la capacidad para visualizar la lista de <em>drivers<\/em> conectados, con el objetivo de monitorizar la conexi\u00f3n de los <em>drivers<\/em> externos en segundo plano, entre otras. El troyano tambi\u00e9n puede lanzar el <em>shell<\/em> interactivo cmd.exe (al copiar el archivo cmd.exe en una carpeta temporal con un nombre distinto).<\/p>\n<h2>Los ataques mediante la CVE-2021-40449<\/h2>\n<p>La explotaci\u00f3n de esta vulnerabilidad cubre una cadena de sistemas operativos en la familia de Microsoft Windows: Vista, 7, 8, 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, Windows 10 (versi\u00f3n 14393), Server 2016 (versi\u00f3n 14393), 10 (versi\u00f3n 17763), and Server 2019 (versi\u00f3n 17763). De acuerdo con nuestros expertos, el <em>exploit<\/em> existe espec\u00edficamente para escalar privilegios en las versiones del servidor del sistema operativo.<\/p>\n<p>Despu\u00e9s de detectar la amenaza, nuestros expertos establecieron que el <em>exploit<\/em> y el <em>malware<\/em> MysterySnail que carga en el sistema han sido ampliamente utilizados en operaciones de espionaje contra empresas inform\u00e1ticas, organizaciones diplom\u00e1ticas y empresas que trabajan para la industria de defensa.<\/p>\n<p>Gracias a Kaspersky Threat Attribution Engine, nuestros expertos pudieron encontrar similitudes en el c\u00f3digo y funcionalidad de MysterySnail y el <em>malware<\/em> utilizado por el grupo IronHusky. Adem\u00e1s, un grupo de APT de habla china ya utiliz\u00f3 algunas de las direcciones del servidor de mando y control de MysterySnail en el 2012.<\/p>\n<p>Para m\u00e1s informaci\u00f3n sobre el ataque, incluida una descripci\u00f3n detallada del <em>exploit<\/em> y los indicadores de compromiso, <a href=\"https:\/\/securelist.com\/mysterysnail-attacks-with-windows-zero-day\/104509\/\" target=\"_blank\" rel=\"noopener\">visita nuestra publicaci\u00f3n de Securelist<\/a>.<\/p>\n<h2>C\u00f3mo mantenerse a salvo<\/h2>\n<p>Puedes empezar con la instalaci\u00f3n de los <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-40449\" target=\"_blank\" rel=\"noopener nofollow\">parches m\u00e1s recientes de Microsoft<\/a> y evita caer en la trampa de vulnerabilidades de d\u00eda cero futuras con soluciones de seguridad s\u00f3lidas que detecten de manera proactiva y detengan la explotaci\u00f3n de vulnerabilidades en todos los ordenadores con acceso a Internet. Las tecnolog\u00edas Behavioral Detection Engine and Exploit Prevention, como las de <a href=\"https:\/\/www.kaspersky.es\/small-to-medium-business-security?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Endpoint Security for Business<\/a>, detectaron la CVE-2021-40449.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb\">\n","protected":false},"excerpt":{"rendered":"<p>Nuestras tecnolog\u00edas de seguridad detectaron la explotaci\u00f3n de una vulnerabilidad antes desconocida en el driver Win32k.<\/p>\n","protected":false},"author":2581,"featured_media":26249,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754,2755],"tags":[412,862,586,784,23],"class_list":{"0":"post-26246","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-exploits","11":"tag-rat","12":"tag-troyanos","13":"tag-vulnerabilidades","14":"tag-windows"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/mysterysnail-cve-2021-40449\/26246\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/mysterysnail-cve-2021-40449\/23490\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/mysterysnail-cve-2021-40449\/18967\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/mysterysnail-cve-2021-40449\/9499\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/mysterysnail-cve-2021-40449\/25567\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/mysterysnail-cve-2021-40449\/23639\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/mysterysnail-cve-2021-40449\/23102\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/mysterysnail-cve-2021-40449\/25784\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/mysterysnail-cve-2021-40449\/31702\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/mysterysnail-cve-2021-40449\/10158\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/mysterysnail-cve-2021-40449\/42448\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/mysterysnail-cve-2021-40449\/18275\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/mysterysnail-cve-2021-40449\/15406\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/mysterysnail-cve-2021-40449\/27564\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/mysterysnail-cve-2021-40449\/31798\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/mysterysnail-cve-2021-40449\/27720\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/mysterysnail-cve-2021-40449\/24480\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/mysterysnail-cve-2021-40449\/29842\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/mysterysnail-cve-2021-40449\/29640\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/vulnerabilidades\/","name":"vulnerabilidades"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/26246","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=26246"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/26246\/revisions"}],"predecessor-version":[{"id":26251,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/26246\/revisions\/26251"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/26249"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=26246"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=26246"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=26246"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}