Operación PowerFall: otra campaña de ataque con exploits de día cero

Kaspersky reveló recientemente detalles sobre una campaña de ataque, lanzada en mayo de 2020, contra una empresa surcoreana. Antecedentes del caso Apodada ” Operación PowerFall “, la campaña de ataque involucró la explotación de vulnerabilidades de día cero en Windows e Internet Explorer. Estos exploits de cadena completa apuntan a las últimas versiones del sistema […]

Kaspersky reveló recientemente detalles sobre una campaña de ataque, lanzada en mayo de 2020, contra una empresa surcoreana.

Antecedentes del caso

Apodada ” Operación PowerFall “, la campaña de ataque involucró la explotación de vulnerabilidades de día cero en Windows e Internet Explorer.

Estos exploits de cadena completa apuntan a las últimas versiones del sistema operativo Windows 10 (compilación 18363 x64) e Internet Explorer 11. 

El ataque consistió en dos exploits de día cero: un exploit de ejecución remota de código para Internet Explorer (CVE-2020-1380) y un exploit de elevación de privilegios (CVE-2020-0986) para Windows.

Basándose en las similitudes con vulnerabilidades previamente reveladas, los investigadores concluyeron que estos ataques probablemente fueron llevados a cabo por el grupo DarkHotel.

Vulnerabilidades recientes en IE

El conjunto más reciente de exploits de día cero (CVE-2020-0674, CVE-2019-1429, CVE-2019-0676 y CVE-2018-8653) también se basó en las vulnerabilidades del motor JavaScript heredado, similar al nuevo uno.

Mientras que el conjunto anterior de vulnerabilidades explotaba una versión un poco más antigua del motor IE Javascript, se encontró un nuevo exploit dirigido a la última versión (jscript9.dll).

Ataques anteriores a IE

A principios de este año, se han observado en la naturaleza varios ataques que aprovechan las vulnerabilidades en IE.

En julio de 2020, el kit de exploits Purple Fox agregó dos nuevos exploits (CVE-2020-0674 y CVE-2019-1458) dirigidos a vulnerabilidades críticas y de alta gravedad de Microsoft IE.

En marzo, se reveló que un grupo anónimo de piratas informáticos estaba utilizando cinco vulnerabilidades de día cero , incluida CVE-2020-0674 en IE, para apuntar a profesionales centrados en Corea del Norte.

La línea de fondo

Microsoft ya ha corregido ambas vulnerabilidades. Debido a amenazas como esta, es aún más importante que las organizaciones practiquen contramedidas como reducir la superficie expuesta al ataque, aprovechar el análisis de amenazas basado en el comportamiento e implementar un riguroso proceso de administración de parches.