Los usuarios de Windows están tras la pista de un MysterySnail mientras Microsoft parchea un día cero recién descubierto bajo explotación activa que se está utilizando para entregar un troyano de acceso remoto (RAT) a objetivos en múltiples industrias en una campaña de ciberespionaje vinculada a un estado nacional.
Asignado CVE-2021-40449, el día cero es una vulnerabilidad de elevación de privilegios que afecta al controlador del kernel de Win32k. El exploit afecta a Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows Server 2008, Windows Server 2008 R2, Microsoft Windows Server 2012, Microsoft Windows Server 2012 R2, Microsoft Windows 10 (compilación 14393), Microsoft Windows Server 2016 (compilación 14393 ), Microsoft Windows 10 (compilación 17763) y Microsoft Windows Server 2019 (compilación 17763).
El propio malware MysterySnail puede recopilar y robar información del sistema de hosts comprometidos y también proporciona una puerta de entrada a otros ataques, como el ransomware. Puede obtener más información sobre la RAT en Kaspersky.
La vulnerabilidad surgió a finales del verano cuando la tecnología de detección automatizada de Kaspersky frustró una serie de ataques utilizando un exploit de elevación de privilegios en Microsoft Windows Server para intentar distribuir el malware MysterySnail.
A primera vista, los ataques parecían estar vinculados a una vulnerabilidad revelada por primera vez en 2016, pero al profundizar, el equipo de investigación y análisis global de Kaspersky (GReAT) encontró el nuevo día cero, CVE-2021-40449, probablemente vinculado a una larga ejecutando una campaña vinculada a China por el grupo IronHusky de amenazas persistentes avanzadas (APT), dirigida a empresas de TI, contratistas militares y de defensa y entidades diplomáticas.
El director de investigación de amenazas cibernéticas de Immersive Labs, Kevin Breen, instó a los defensores a parchear contra CVE-2021-40449 como una prioridad. “Los atacantes ya lo están usando contra organizaciones para obtener derechos de administrador”, dijo. “Este es el primer paso para convertirse en administrador de dominio y asegurar el acceso completo a una red. Casi todos los ataques de ransomware reportados este año han incluido el uso de una o más vulnerabilidades de escalada de privilegios como parte del flujo de trabajo del atacante, por lo que esto es algo serio “.
Además de MysterySnail, Redmond emitió parches para otras 73 vulnerabilidades y otros tres días cero en su última actualización mensual. Los otros días cero son: CVE-2021-40469, una vulnerabilidad de ejecución remota de código (RCE) en Windows DNS Server; CVE-2021-41335, otra vulnerabilidad de elevación de privilegios en el kernel de Windows; y CVE-2021-41338, una vulnerabilidad de omisión de reglas de firewall en Windows AppContainer.
También es probable que los actores malintencionados estén prestando atención a una serie de otras vulnerabilidades, que ya están siendo evaluadas por la comunidad de seguridad en general. El ingeniero de investigación del personal de Tenable, Satnam Narang, llamó la atención sobre CVE-2021-39670, una vulnerabilidad de suplantación de identidad en Windows Print Spooler.
“La vulnerabilidad fue descubierta por los investigadores XueFeng Li y Zhiniang Peng de Sangfor”, dijo Narang. “También se les atribuyó el descubrimiento de CVE-2021-1675, una de las dos vulnerabilidades conocidas como PrintNightmare.
“Si bien no se han compartido públicamente detalles sobre la falla, definitivamente es algo a lo que hay que estar atento, ya que vimos un flujo constante de vulnerabilidades relacionadas con Print Spooler parcheadas durante el verano, mientras que los grupos de ransomware comenzaron a incorporar PrintNightmare en su libro de jugadas de afiliados”.
El gerente de producto de Rapid7, Greg Wiseman, también señaló algunas vulnerabilidades en las que los actores de amenazas pueden estar interesados. “Otra vulnerabilidad notable es CVE-2021-26427, la última en Exchange Server RCE”, dijo. “La gravedad se mitiga por el hecho de que los ataques se limitan a una ‘topología lógicamente adyacente’, lo que significa que no se puede explotar directamente a través de la Internet pública.
“También se repararon otras tres vulnerabilidades relacionadas con Exchange Server: CVE-2021-41350, una vulnerabilidad de suplantación; CVE-2021-41348, que permite la elevación de privilegios; y CVE-2021-34453, que es una vulnerabilidad de denegación de servicio “.
Wiseman agregó: “Los administradores de virtualización deben estar al tanto de dos RCE que afectan a Windows Hyper-V: CVE-2021-40461 y CVE-2021-38672. Ambos afectan a versiones relativamente nuevas de Windows y se consideran críticas, lo que permite que una máquina virtual se escape de un invitado a otro al desencadenar un error de asignación de memoria, lo que le permite leer la memoria del kernel en el host “.
A pesar de los errores de los titulares, el martes de parches de octubre fue notablemente más ligero en cuanto a vulnerabilidades totales y críticas, dijo Eric Feldman, gerente senior de marketing de productos de Automox. “Si bien octubre nos trae Halloween y todo tipo de fantasmas, afortunadamente nuestras peores pesadillas no se hicieron realidad con el Patch Tuesday de este mes. Tu entorno no debería convertirse en una casa de horrores.
“La tendencia del número total de vulnerabilidades es estable, con el número de octubre de 74 ligeramente por debajo del promedio mensual de 77 para el año. Una buena noticia para todos los profesionales de ITOps y SecOps es la tendencia a las vulnerabilidades críticas. El total de tres de octubre no solo coincide con el punto más bajo de septiembre para el año, sino que representa una reducción del 66% con respecto al promedio mensual de 2021. Y esta tendencia parece sólida cuando vemos que el número de vulnerabilidades críticas de octubre representa una reducción del 46% en comparación con el promedio móvil de seis meses “.
Feldman agregó: “Automox recomienda que todas las vulnerabilidades críticas y explotadas se remenden dentro de un período de 72 horas, en particular las destacadas este mes. Con una carga más ligera que el promedio de este mes, es de esperar que los equipos de SecOps y TI no vean que sus actividades de parcheo se conviertan en una noche de terror “.
