Kaspersky Lab ha descubierto una vulnerabilidad de día cero en Silverlight, una tecnología web que se utiliza para mostrar contenido multimedia. La vulnerabilidad permitiría a un atacante obtener acceso completo a una computadora comprometida y ejecutar código malicioso para robar información confidencial y realizar otras acciones ilegales.
La vulnerabilidad (CVE-2016-0034) fue remediada en el último Parche de Actualización del martes emitido por Microsoft el 12 de enero de 2016. El descubrimiento fue el resultado de una investigación que comenzó hace más de cinco meses a partir de un artículo publicado por Ars Technica.
En el verano de 2015 una historia sobre el ataque de hackers contra la compañía Hacking Team (un desarrollador conocido de “spyware legal”), llegó a los medios. Uno de los artículos sobre el tema, publicado en Ars Technica, mencionó correspondencia filtrada supuestamente entre representantes de Hacking Team y Vitaliy Toropov, un creador de exploits independiente.
Entre otras cosas, el artículo menciona la correspondencia en la que Toropov intentó vender una vulnerabilidad día cero particularmente interesante a Hacking Team: un exploit de cuatro años de antigüedad y aún sin parchar en la tecnología Silverlight de Microsoft. Este dato despertó el interés de los investigadores de Kaspersky Lab.
No hubo información adicional acerca del exploit en el artículo, así que los investigadores comenzaron su investigación utilizando el nombre del vendedor. Rápidamente descubrieron que un usuario que se nombró a sí mismo Vitaliy Toropov era un colaborador muy activo de “Open Source Vulnerability Database” (OSVDB), un lugar donde cualquiera puede publicar información sobre vulnerabilidades.
Mediante el análisis de su perfil público en OSVBD.org, los investigadores de Kaspersky Lab descubrieron que en 2013, Toropov había publicado una prueba de concepto (POC) la cual describía un error en la tecnología Silverlight. La prueba de concepto cubría una vieja vulnerabilidad que era conocida y actualmente parchada. Sin embargo, también contenía detalles adicionales que le dieron a los investigadores de Kaspersky Lab una pista acerca de cómo el autor del exploit escribe código.
La suposición fue correcta. Varios meses después de la implementación de las reglas especiales de detección, un cliente de Kaspersky Lab fue blanco de un ataque que utilizó un archivo sospechoso con las características que se estaban buscando. Varias horas después, alguien (posiblemente una víctima de los ataques) de Laos subió un archivo con las mismas características a un servicio multiscanner.
Los expertos de Kaspersky Lab analizaron el ataque y descubrieron que en realidad estaba aprovechando un error desconocido en la tecnología Silverlight. La información sobre el error se informó inmediatamente a Microsoft para su validación.
“Aunque no sabemos si el exploit que descubrimos es, de hecho, el que fue mencionado en el artículo de Ars Technica, tenemos fuertes razones para creer que es el mismo. Comparando el análisis de este archivo con el trabajo previo de Vitaliy Toropov nos hace pensar que el autor del exploit recién descubierto, y el autor de las pruebas de concepto publicados en OSVDB a nombre de Toropov, son la misma persona”, dijo Costin Raiu, Director del Equipo de Análisis e Investigación Global de Kaspersky Lab.
-Al mismo tiempo, no excluimos por completo la posibilidad de que hayamos descubierto otro exploit día cero en Silverlight. En general, esta investigación ayudó a hacer el ciberespacio un poco más seguro mediante el descubrimiento de un día cero y revelarlo de manera responsable. Alentamos a todos los usuarios de productos Microsoft para que actualicen sus sistemas lo más pronto posible para parchar esta vulnerabilidad.
La lógica detrás de esta táctica era simple: si Toropov trató de vender un exploit día cero a Hacking Team, era muy probable que haya hecho lo mismo con otros proveedores de spyware. Como resultado de esta actividad, otras campañas cibernéticas de espionaje podrían estar usándolo activamente para atacar e infectar a víctimas desprevenidas.