La semana pasada, el equipo de Google Project Zero reveló los detalles de una vulnerabilidad en Windows 10 que permite a un atacante obtener privilegios del sistema en la computadora de la víctima.
Lo sorprendente del problema es que se utilizó en un ataque real en combinación con otro, vulnerabilidad también encontrada recientemente en el navegador Google Chrome. Encontraron un error en el manejador de fuentes FreeType (ya cerrado), que permitía escapar del sandbox. Un par de vulnerabilidades, respectivamente, hicieron posible tal escenario: la víctima es atraída a una página web infectada, los atacantes ejecutan código fuera del entorno seguro del navegador y una vulnerabilidad en Windows les da control total sobre el sistema.
Este escenario es especulativo: Google no revela los detalles del ataque en sí. Al mismo tiempo, el equipo de Project Zero aplicó la regla de divulgación de vulnerabilidades de día cero y le dio a Microsoft solo siete días para lanzar el parche. En el momento de la publicación, el parche para Windows aún no está disponible: lo más probable es que se incluya en el conjunto regular de actualizaciones programadas para el 10 de noviembre. Tradicionalmente, hubo un intercambio de opiniones bastante cáustico: Microsoft cree que el personal de seguridad de Google podría haber tolerado la publicación, Project Zero confía en que están alentando a los proveedores a lanzar el parche más rápido, quizás incluso fuera del programa estándar.
Fuentes
Error de Windows 10: artículo de ArsTechnica, información técnica .
Vulnerabilidad en Google Chrome: datos técnicos y discusión en el rastreador de errores de Project Zero.
La vulnerabilidad CVE-2020-117087 afecta al menos a Windows 10 y Windows 7. Está presente en una de las funciones del sistema para el cifrado de datos. Un error en el procesamiento de la información provoca un desbordamiento del búfer y crea condiciones para la ejecución de código arbitrario con privilegios del sistema. El artículo técnico de Project Zero muestra la lógica de la función vulnerable en pseudocódigo, y también incluye un script PoC que hace que el sistema falle.
A su vez, la vulnerabilidad en el navegador Chrome probablemente afecte a otros navegadores basados en el motor Blink. Quizás no solo en los navegadores: el error se encontró en el código de una biblioteca de terceros . Curiosamente, Microsoft no confirma la explotación activa de la vulnerabilidad en Windows, mientras que Google cree lo contrario. Si el ataque real tuvo lugar (no se reveló información al respecto), entonces, en cualquier caso, su etapa inicial fue el navegador Chrome. Un parche de vulnerabilidad en la biblioteca FreeType hizo imposible este método de ataque en particular. Eso, por supuesto, no excluye la posibilidad de aprovechar la vulnerabilidad en Windows de otras formas.
¿Qué más pasó?
Los expertos de Kaspersky Lab publicaron un informe sobre ataques DDoS en el tercer trimestre de este año. El número total de campañas ha disminuido significativamente en comparación con el período anterior, en el que se registró una actividad anormalmente alta de ciberdelincuentes, aparentemente asociada a una pandemia.
Sophos ha informado sobre una técnica de phishing para contraseñas de Facebook que intenta eludir la autenticación de dos factores. Se ofrece a los usuarios (bajo amenaza de eliminar la página) para impugnar la supuesta denuncia de infracción de derechos de autor. En una página de inicio de sesión de cuenta falsa, ofrecen ingresar un nombre de usuario, contraseña y código de un solo uso para iniciar sesión en la cuenta.
En Finlandia, se filtraron los datos de al menos 300 clientes del centro de psicoterapia Vaastamo. Algunos de los registros pasaron al dominio público, a algunos pacientes se les envían demandas de rescate de unos 200 euros en criptomonedas y se les amenaza con publicar información sensible. Antes de esto, los ciberdelincuentes intentaron obtener dinero de la organización afectada de la manera tradicional: le exigieron casi medio millón de euros.
Un uso un poco menos peligroso de los datos personales es un ataque.a cuentas de clientes en la cadena de restaurantes. Las cuentas de algunos clientes fueron secuestradas, muy probablemente por el método de relleno de credenciales: los atacantes pudieron adivinar la contraseña, ya que se usó en otros servicios ya pirateados. El resultado: una pérdida significativa de dinero, ya que se recibieron grandes pedidos en nombre de los clientes. Los ciberdelincuentes trabajaban literalmente por comida.
En el lanzamiento de WordPress 5.5.2, se cerró una vulnerabilidad crítica que permitía tomar el control de un sitio web sin parches. Este es un caso poco frecuente de un problema grave en el código CMS, no en los complementos de terceros.