El día cero crítico en el que los investigadores de seguridad específicos reciben un parche de Microsoft

Figuras en sombras se encuentran debajo de un logotipo de Microsoft en una pared de madera de imitación.

Microsoft ha parcheado una vulnerabilidad crítica de día cero que los piratas informáticos norcoreanos estaban utilizando para atacar a los investigadores de seguridad con malware.

Los ataques en la naturaleza salieron a la luz en enero en publicaciones de Google y Microsoft

. Los piratas informáticos respaldados por el gobierno de Corea del Norte, dijeron ambas publicaciones, pasaron semanas desarrollando relaciones de trabajo con investigadores de seguridad. Para ganarse la confianza de los investigadores, los piratas informáticos crearon un blog de investigación y personas de Twitter que se comunicaron con los investigadores para preguntarles si querían colaborar en un proyecto.

Finalmente, los perfiles falsos de Twitter pidieron a los investigadores que usaran Internet Explorer para abrir una página web. Aquellos que mordieron el anzuelo encontrarían que su máquina con Windows 10 completamente parcheada instaló un servicio malicioso y una puerta trasera en la memoria que se puso en contacto con un servidor controlado por piratas informáticos.

Microsoft el martes parcheó la vulnerabilidad. CVE-2021-26411, ya que se rastrea la falla de seguridad, se califica como crítico y solo requiere un código de ataque de baja complejidad para explotarlo.

De pobre a rico

Google solo dijo que las personas que se acercaron a los investigadores trabajaban para el gobierno de Corea del Norte. Microsoft dijo que eran parte de Zinc, el nombre de Microsoft para un grupo de amenazas mejor conocido como Lazarus. Durante la última década, Lazarus se ha transformado de un grupo heterogéneo de piratas informáticos a lo que a menudo puede ser un actor de amenazas formidable.

Según se informa, un informe de las Naciones Unidas de 2019 estimó que Lázaro y los grupos asociados han generado $ 2 mil millones para los programas de armas de destrucción masiva del país. Lazarus también se ha relacionado con el gusano Wannacry que apaga computadoras en todo el mundo, malware Mac sin archivos, malware que apunta a cajeros automáticos y aplicaciones maliciosas de Google Play que apuntan a desertores.

Además de usar el ataque de abrevadero que explotaba IE, los piratas informáticos de Lazarus que atacaron a los investigadores también enviaron a los objetivos un Proyecto de Visual Studio que supuestamente contenía código fuente para un exploit de prueba de concepto. Escondido dentro del proyecto había malware personalizado que se puso en contacto con el servidor de control de los atacantes.

Si bien Microsoft describe CVE-2021-26411 como una “vulnerabilidad de corrupción de memoria de Internet Explorer”, el aviso del lunes dice que la vulnerabilidad también afecta a Edge, un navegador que Microsoft creó desde cero y que es considerablemente más seguro que IE. La vulnerabilidad conserva su calificación crítica para Edge, pero no hay informes de que los exploits hayan atacado activamente a los usuarios de ese navegador.

El parche vino como parte de la actualización de Microsoft el martes. En total, Microsoft emitió 89 parches. Además de la vulnerabilidad de IE, una defecto de privilegio de escalada separada en el componente Win32k también está bajo explotación activa. Los parches se instalarán automáticamente durante uno o dos días. Aquellos que quieran las actualizaciones de inmediato deben ir a Inicio> configuración (el icono de engranaje)> Actualización y seguridad> Actualización de Windows.

Leave a Reply

Your email address will not be published. Required fields are marked *