Noticias

Microsoft, disgustada de cómo divulga Google las zero-day de Flash

Publicado

en

Microsoft ha señalado que Sofacy, un grupo de Amenazas Persistentes Avanzadas (APT) del cual se sospecha que tiene vinculaciones con la inteligencia militar rusa, ha podido ser el responsable de los ataques dirigidos que han estado apoyados en las vulnerabilidades zero-day recientemente descubiertas en Flash y que permiten atacar el kernel de Windows.

La última de esas vulnerabilidades se hizo pública el pasado 31 de octubre, aunque Google se la había reportado a Microsoft 10 días antes. Básicamente se trata de una escalada privilegios que puede ser usada para evitar el sandbox (aislamiento de procesos) y ejecutar código en una máquina comprometida utilizando la llamada de sistema win32k.sys.

Volviendo al tema del grupo de hackers ruso, se sabe también que ha actuado aparentemente con otros nombres como Strontrium, APT28, Tsar Team y Sednit, entre otros nombre y pseudónimos.

Microsoft ya ha tomado cartas en el asunto y ha comunicado que esta vulnerabilidad zero-day será parcheada el próximo 8 de noviembre. Sin embargo, esta no viene sola, ya que se suma a la descubierta la semana pasada que también afectada a Flash y fue destapada por Google. Al parecer, ambas vulnerabilidades fueron usadas en cadena para atacar al sistema operativo Windows.

La forma de proceder de Google no ha gustado a Microsoft, que a través de su vicepresidente ejecutivo de Windows y Grupo de Dispositivos, Terry Myerson, ha dicho lo siguiente: “Creemos que una participación responsable en la industria de la tecnología tendría que poner a los clientes primero, y eso requiere de una divulgación coordinada de la vulnerabilidad. La decisión de Google de divulgar esas vulnerabilidades antes de que los parches estuviesen ampliamente disponibles y probados es decepcionante, y expone a los clientes a un riesgo mayor”. El gigante de Redmond añadió que está trabajando en coordinación con Google y Adobe para lanzar el parche el 8 de noviembre.

Microsoft ha comentado que los ataques se propagaron en lo que la compañía llamó campaña de phishing de “bajo volumen”. Por otro lado, los objetivos de Sofacy fueron sobre todo agencias gubernamentales, instituciones diplomáticas, organizaciones militares, contratistas de defensa e institutos de investigación de políticas públicas. Además, el grupo también ha sido acusado de los ataques contra Comité Nacional del Partido Demócrata de Estados Unidos, lo que le ha costado las acusaciones de estar vinculado al Gobierno de Rusia, en un presunto intento del país euroasiático de interferir en las elecciones presidenciales que pronto se celebrarán en el país norteamericano.

Las dos vulnerabilidades zero-day fueron explotadas en cadena para obtener así acceso persistente a las computadoras objetivo, según Microsoft. Primero, un exploit fue usado contra una de las vulnerabilidades de Flash, tratándose de una utilización después de liberación de la memoria RAM en el entorno de ejecución de ActionScript. Una vez que Flash ha sido comprometido con el fin de obtener el control sobre el navegador, los atacantes han usado la segunda vulnerabilidad para provocar una escalada de privilegios y saltarse el sandbox del navegador, afectando a Windows Vista, 7, 8, 8.1 y 10. Ejecutada con éxito la escalada de privilegios, se puede instalar una puerta trasera para obtener acceso persistente a la computadora de la víctima, pudiendo los atacantes enviar órdenes y robar datos.

La compañía desarrolladora de Windows ha dicho que el componete win32k ha sido recientemente actualizado con mitigaciones que tendrían que prevenir los exploits. También ha comentado que la puerta trasera DLL usada en esos ataques puede ser bloqueada a través de estrictas políticas en la Integridad del Código, algo que se puede hacer desde Microsoft Edge.

La divulgación de las vulnerabilidades responden a las políticas internas de Google, que da a los vendedores 60 días para parchear vulnerabilidades críticas o para notificar a los usuarios sobre los riegos y cualquier solución o mitigación temporal. Por otro lado da siete días para un reporte mínimo en caso de fallos críticos que se están explotando activamente.

Una vez más, recordamos que el imparable avance de HTML5 puede plantear en serio el dejar de usar Flash por parte de muchos usuarios, viendo que la tecnología de Adobe no para de cosechar malas noticias en torno a su seguridad.

Fuente | ThreatPost | 1 y 2

Lo más leído

Salir de la versión móvil