Gracias al subsistema Kaspersky Exploit Prevention de nuestros productos, hemos identificado recientemente un exploit -un programa malicioso que permite a los atacantes acceder sin autorización al ordenador- mediante una vulnerabilidad en el navegador Google Chrome. Se trataba de una vulnerabilidad de día cero; por lo que, hasta ese momento, era desconocida para los desarrolladores. Ahora se conoce como CVE-2019-13720.

Notificamos la vulnerabilidad a Google, que le puso solución en la última actualización de Chrome. A continuación, te contamos cómo tiene lugar el ataque que utiliza esta vulnerabilidad.

WizardOpium: Malas noticias desde Corea

Los ataques, que hemos denominado Operación WizardOpium, comenzaron en un portal de noticias coreano en el que los atacantes inyectaron código malicioso que carga un script de un sitio de terceros. Este comprueba en primer lugar si es viable la infección del sistema y qué navegador usa la víctima (a los ciberdelincuentes les interesa el navegador Chrome para Windows, en la versión 65 o posterior).

 

Si el sistema operativo y el navegador cumplen con los requisitos, el script descarga el exploit por fragmentos, después los ensambla y los descifra. Lo primero que hace este exploit es comprobar la versión de Chrome. En esta etapa, se vuelve más selectivo y funciona exclusivamente con Chrome 76 o 77. Es posible que las herramientas del ciberdelincuente incluyan otros exploits para las diferentes versiones del navegador, pero no lo sabemos a ciencia cierta.

Tras encontrar lo que busca, el exploit intenta aprovechar la vulnerabilidad CVE-2019-13720, de tipo use-after-free, que se basa en el uso inapropiado de la memoria del ordenador. Al manipular la memoria, el exploit obtiene permiso para leer y escribir datos en el dispositivo, que usa inmediatamente para descargar, descifrar y ejecutar el malware. Este último puede variar según el usuario.

Los productos de Kaspersky detectan el exploit arrojando el dictamen Exploit.Win32.Generic. Para más información técnica sobre el asunto, puedes leer esta publicación en Securelist.

Actualiza Chrome

Aunque no leas portales de noticias coreanos, te recomendamos que actualices de inmediato Chrome a la versión 78.0.3904.87. Existe ya un exploit que usa esa vulnerabilidad, lo que significa que otras pueden seguirle. Es probable que esto suceda tan pronto como se publique información sobre la vulnerabilidad.

Google ha lanzado una actualización de Chrome para Windows, macOS y Linux. Como Chrome se actualiza automáticamente, debería bastar con reiniciar el navegador.

Asegúrate de que la actualización se haya instalado. Para ello, haz clic en los tres puntos en la esquina superior del navegador (“Personaliza y controla Google Chrome”), y selecciona Ayuda → Información de Google Chrome. Si el número que ves es 78.0.3904.87 o posterior, todo está en orden. De lo contrario, Chrome empezará a buscar actualizaciones e instalarlas (verás un círculo girando en el lado izquierdo) y, tras unos segundos, la versión más reciente aparecerá en la pantalla: haz clic en Reiniciar.

Tomado de: https://www.kaspersky.es/blog/google-chrome-zeroday-wizardopium/19560/ 

Written by Webmaster