Cuatro vulnerabilidades de día cero están siendo explotadas en Windows y Google Chrome

18 Enero 2021
Alto

El equipo de investigación de Google, Project Zero en conjunto con Google Threat Analysis Group (TAG) han lanzado un informe que consta de 6 partes en el cual detallan campaña existente sobre un conjunto de vulnerabilidades que están siendo explotadas hacia usuarios de Windows y Google Chrome.

Vulnerabilidades de día cero

Los primeros indicios sobre la campaña fueron evidenciados a inicios del 2020, donde los actores se aprovecharon de 4 vulnerabilidades de día cero para atacar. Según información entregada por Project Zero se descubrieron dos servidores de exploits que facilitan diferentes cadenas de exploits a través de ataques de abrevadero, la cual consiste en una estrategia donde el atacante observa qué sitios suele frecuentar una organización o individuos para luego infectarlas con malware. De esta manera comienza la cadena de ataque que apuntó a usuarios de Windows a través de Chrome para la ejecución remota inicial del código.

Listado de 4 días cero

  • CVE-2020-6418  - Vulnerabilidad de Chrome en TurboFan (corregido en febrero de 2020)
  • CVE-2020-0938  - Vulnerabilidad de fuentes en Windows (corregido en abril de 2020)
  • CVE-2020-1020  - Vulnerabilidad de fuentes en Windows  (corregido en abril de 2020)
  • CVE-2020-1027  - Vulnerabilidad de CSRSS de Windows (corregido en abril de 2020)

Mediante los servidores de exploits encontrados, el equipo de seguridad de google pudo concluir lo siguiente:

  • El renderizador explota cuatro errores en Chrome, uno de los cuales todavía era un día 0 en el momento del descubrimiento.
  • Dos exploits de escape de sandbox abusan de tres vulnerabilidades de día cero en Windows

Todas las vulnerabilidades utilizadas por el atacante están en V8, el motor JavaScript de Chrome; y más específicamente, son errores del compilador JIT. Si bien los problemas clásicos de seguridad de la memoria de C ++ todavía se explotan en los ataques del mundo real  contra los navegadores web , las vulnerabilidades en JIT ofrecen muchas ventajas a los atacantes”.

Vulnerabilidad de Chrome en TurboFan

CVE-2020-6418

Es un error de confusión de tipos en el motor de Javascript V8. Versiones de Chrome anteriores a 80.0.3987.122 que conducen a la ejecución remota de código. Existe en V8 en Google Chrome (Turbofan), que es el componente utilizado para procesar el código JavaScript. Permite que un atacante remoto pueda causar daños en el “montón” a través de una página HTML diseñada.

Vulnerabilidades de fuentes en Windows 

CVE-2020-0938 

Es una vulnerabilidad trivial de corrupción de pila en el controlador de fuentes de Windows. Se puede activar cargando una fuente Type 1 que incluye un objeto BlendDesignPositions especialmente diseñado 

CVE-2020-1020

Falla del controlador de fuentes de Windows, encontrada en el procesamiento del objeto de fuente PostScript de VToHOrigin, que también se desencadena al cargar una fuente Type 1 especialmente diseñada. Ambos se utilizaron para la escalada de privilegios.

Problema de CSRSS en Windows 10

CVE-2020-1027

Desbordamiento de búfer de almacenamiento dinámico de Windows en el subsistema de tiempo de ejecución de cliente/servidor (CSRSS), que es un subsistema esencial que debe estar ejecutándose en Windows en todo momento. El problema se utilizó como un escape de la sandbox en una cadena de exploits del navegador utilizando, en ocasiones, las cuatro vulnerabilidades.

Ataques sofisticados

El equipo de Project Zero declaró que: “Se trata de un código complejo y bien diseñado con una variedad de métodos de explotación novedosos, registros maduros, técnicas de post explotación sofisticadas, calculadas y grandes volúmenes de comprobaciones anti análisis y de focalización.

Además, agregan “En algunos casos, los atacantes utilizaron un exploit de renderizado inicial para desarrollar huellas digitales detalladas de los usuarios desde el interior del sandbox. En estos casos, el atacante adoptó un enfoque más lento: devolvió docenas de parámetros desde el dispositivo del usuario final, antes de decidir si continuar o no con una mayor explotación y usar un escape de la caja de arena.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes
  • Activar las actualizaciones automáticas de Windows Update como buena práctica de seguridad , para así poder asegurarse de que el software afectado se actualice tan pronto , cuando existan parches disponibles.

El listado de las CVE se adjunta a continuación:


Tags: #DiaCero #Windows #Exploits #ProjectZero


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.