Microsoft corrige vulnerabilidad de día cero explotada por espías chinos

Microsoft corrige vulnerabilidad de día cero supuestamente explotada por espías chinos. El plan de parches de reparación de octubre de la empresa también incluye esta vulnerabilidad de día cero entre 71 otros. Este año ya se cuenta como el más rico en infracciones de día 0, pero la fiesta parece estar lejos de terminar.

Espías chinos detrás de la vulnerabilidad de día cero CVE-2021-40449

La compañía generalmente lanza parches el segundo martes de cada mes., conocido como Patch Tuesday. Esta versión temporal corrige 71 defectos, entre ellos uno explotado activamente. Se encontraron fallas de seguridad en el navegador Edge, Microsoft Office, Estudio visual, Servidor de intercambio, y MSHTML. Todos recibieron actualizaciones de seguridad.. Los especialistas en seguridad cibernética asignaron a dos de ellos calificaciones críticas, 68 tan importante y una calificación de gravedad baja. Tres ya se hicieron públicos antes del lanzamiento de los parches y uno que lleva la identificación. CVE-2021-40449 fue descubierto en la naturaleza.

Este exploit fue detectado y reportado por Boris Larin, el analista de malware. Es responsable de la detección y prevención de amenazas avanzadas como exploits. Según el informe, el exploit se utilizó para atacar servidores de Microsoft Windows..

“Además de encontrar el día cero en la naturaleza, Analizamos la carga útil de malware utilizada junto con el exploit de día cero., y descubrió que se detectaron variantes del malware en campañas de espionaje generalizadas contra empresas de TI, contratistas militares / de defensa, y entidades diplomáticas,”, Escribieron sus colegas Costin Raiu y Larin en el blog de seguridad cibernética..¹

La primera actividad de ataque de elevación de privilegios específica notada en los servidores de Windows se detectó a fines de agosto y principios de septiembre de este mismo año.. CVE-2021-40449 ayudó a los atacantes a eludir la seguridad de Windows. It was a “use-after-free” information disclosure issue. The attackers were identified as a Chinese-speaking “IronHusky” APT group that has been on the scene since 2012. Usaron la vulnerabilidad Win32k para espiar, los investigadores dicen. Los piratas informáticos generalmente creaban un troyano de acceso remoto (RATA) para establecer un punto de comando y control en Windows Server. Code that was used in these attacks got the “MysterySnail” name.

Otro defecto en los servidores de Exchange informado por EE. UU.. Agencia de Seguridad Nacional

Otro defecto que llamó bastante la atención de los medios es CVE-2021-26427. Tiene una puntuación CVSS de 9.0 y fue informado por los EE. UU.. Agencia de Seguridad Nacional. En marzo, los piratas informáticos lo utilizaron para drenar correos electrónicos e inyectar cientos de empresas con puertas traseras.. Los servidores de Exchange son objetivos de gran valor para los piratas informáticos que buscan sondear redes comerciales. La gravedad también se ve reforzada por el hecho de que todo se limita a la topología lógicamente adyacente y eso implica que no se explota directamente a través de Internet..

Microsoft marcó esta falla como no probable que esté bajo el radar de explotación. La razón es que los piratas informáticos necesitarían tener acceso a su red para poder utilizar esta vulnerabilidad.. Pero los especialistas en seguridad cibernética advierten que esto puede no ser lo primero a lo que se debe prestar atención mientras se arreglan los parches, pero ciertamente debe tenerse en cuenta.. Los correos electrónicos siempre han sido un objetivo principal para los piratas informáticos. Es simplemente por los datos que contienen que se pueden utilizar para diferentes propósitos maliciosos..

1. https://redmondmag.com/articles/2021/10/13/espionage-attackers-were-using-windows-zero-day-vulnerability.aspx