Según Kaspersky el 14 y 15 de abril de 2021, se rastreó una ola de ataques altamente concentrados utilizando una cadena de exploits de día cero en Chrome y Windows.
PuzzleMaker es el nombre de los atacantes. Aunque no está validado, el primer exploit en la cadena parece ser CVE-2021-21224, una vulnerabilidad de confusión de tipo V8 en Chrome antes de 90.0.4430.85.
El 20 de abril, Google lanzó una solución para la falla crítica que, cuando se explota, permite a los atacantes remotos ejecutar código arbitrario dentro de una caja de arena a través de una página HTML falsa.
Los investigadores descubrieron el exploit en dos vulnerabilidades de Windows 10 , que son problemas de día cero solucionados en la última actualización del martes de parches de Microsoft.
CVE-2021-31955, la primera vulnerabilidad, es una vulnerabilidad de divulgación de información del kernel de Windows en el archivo ntoskrnl.exe. Esto se usa típicamente para revelar las direcciones del núcleo de la estructura de Eprocess para los procesos en ejecución. La segunda vulnerabilidad, CVE-2021-31956, es una vulnerabilidad de desbordamiento del búfer de pila en el controlador NTFS de Windows que se puede aprovechar para obtener privilegios elevados.
Según Kaspersky, cuando las vulnerabilidades se vincularon, el atacante pudo escapar de la zona de pruebas y ejecutar código malicioso en una máquina de destino
Además de las vulnerabilidades mencionadas anteriormente, toda la cadena de ataque incluye otros 4 módulos de malware conocidos como Stager, Dropper, Service y Remote Shell. El módulo Stager se utiliza para notificar al usuario que la extracción se realizó correctamente. Un módulo de cuentagotas de malware más complicado también se descarga y ejecuta desde un sitio remoto.
Cada módulo de etapa se entrega a la víctima con un blob de configuración personalizado que incluye la URL de C&C, la identificación de la sesión, las claves para descifrar la siguiente etapa del malware y otra información.
El módulo Dropper se utiliza para instalar dos programas ejecutables que se hacen pasar por archivos oficiales del sistema operativo Microsoft Windows. Uno de estos programas (WmiPrvMon.exe,% SYSTEM) se registra como un servicio y sirve como lanzador del segundo ejecutable. El segundo ejecutable (% SYSTEM% wmimon.dll) tiene la funcionalidad de un shell remoto y puede considerarse como la carga útil principal del ataque. Kaspersky no encontró similitudes con otro malware conocido.
El módulo de shell remoto tiene una URL codificada para el servidor de comando y control (media-seoengine.com). Toda la comunicación entre el servidor C&C y el cliente está autenticada y encriptada. El módulo de shell remoto puede descargar y cargar datos, iniciar y detener programas, dormir durante períodos de tiempo específicos y borrarse a sí mismo de la computadora comprometida
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
Fecha actualizacion el 2021-06-11. Fecha publicacion el 2021-06-11. Categoria: windows 10 Autor: Oscar olg Mapa del sitio Fuente: softpedia