Kaspersky Lab ha descubierto una vulnerabilidad zero-day en Microsoft Silverlight, una tecnología web que se utiliza para mostrar contenido multimedia online. La vulnerabilidad permitía a los ciberdelincuentes obtener acceso completo a un equipo comprometido y ejecutar código malicioso. La vulnerabilidad (CVE-2.016 a 0.034) fue solucionada por Microsoft en la actualización de seguridad del martes 12 de enero de 2016. La investigación de Kaspersky comenzó hace más de cinco meses a partir de un artículo publicado por Ars Technica.
En el verano boreal de 2015 saltó a los medios el ataque contra Hacking Team (empresa desarrolladora de “spyware legal”). Uno de los artículos sobre el tema, publicado en Ars Technica, mencionaba el supuesto filtrado de correo entre los representantes de Hacking Team y Vitaliy Toropov, un exploit-writer independiente. Entre otros temas, el artículo hacía referencia a los correos con los que Toropov intentaba vender un zero-day a Hacking Team: un exploit de cuatro años y aún sin parchear de tecnología Microsoft Silverlight. Este dato despertó el interés de los analistas de Kaspersky Lab.
No existía información adicional sobre este hecho en el artículo y los analistas comenzaron su investigación utilizando el nombre del vendedor. Rápidamente descubrieron que un usuario que se hacía llamar Vitaliy Toropov era un colaborador muy activo en Open Source Vulnerability Database (OSVDB), un sitio donde cualquiera puede publicar información sobre vulnerabilidades. Mediante el análisis de su perfil público en OSVBD.org, los investigadores de Kaspersky Lab descubrieron que en 2013, Toropov había publicado una prueba de concepto (POC), que describía un error en la tecnología Silverlight. El POC cubría una vieja vulnerabilidad conocida y parcheada. Sin embargo, también contenía detalles adicionales que dieron a los analistas de Kaspersky Lab una pista sobre cómo el autor del exploit escribía los códigos.
Durante el análisis realizado por los expertos de Kaspersky Lab, algunas secuencias en el código llamaron la atención. Con esta información se crearon varias reglas de detección para las tecnologías de protección de Kaspersky Lab: cuando un usuario que compartía datos de amenazas en Kaspersky Security Network (KSN) detectaba el software malicioso que demostraba el comportamiento oculto, el sistema marcaba el archivo como altamente sospechoso y se enviaba una notificación a la empresa para su análisis. El objetivo de esta táctica era sencillo: si Toropov había tratado de vender un exploit zero-day de Hacking Team, era muy probable que hubiera hecho lo mismo con otros proveedores de software espía. Como resultado, otras campañas de ciberespionaje podrían estar utilizándolo activamente para atacar e infectar a víctimas desprevenidas.
“No sabemos si el exploit que descubrimos es, de hecho, el que se mencionaba en el artículo de Ars Technica, pero tenemos motivos de peso para creer que sí lo es. La comparación del análisis de este archivo con el trabajo previo de Vitaliy Toropov nos hace pensar que el autor del exploit descubierto y el autor de los POC publicados en OSVDB en nombre de Toropov es la misma persona. Al mismo tiempo, no se descarta la posibilidad de que nos encontremos otro exploit zero-dayo en Silverlight. En general, esta investigación ayuda a que el ciberespacio sea un poco más seguro. Animamos a todos los usuarios de los productos de Microsoft a que actualicen sus sistemas lo antes posible para solucionar esta vulnerabilidad”, afirma Costin Raiu, director del GREAT de Kaspersky Lab.
Los productos de Kaspersky Lab detectan el exploit CVE-2.016-0.034 con el siguiente nombre: HEUR: Exploit.MSIL.Agent.gen
Kaspersky publica Información completa (en inglés) sobre el descubrimiento de la vulnerabilidad en Securelist.com.
