Búsca en Seguridad y Firewall


Se revelan de manera accidental 2 vulnerabilidades de Dia Cero.

Diego Cortes Robles miércoles, mayo 16, 2018Compartir:


Un grupo no identificado de hackers accidentalmente expusieron como funcionan dos vulnerabilidades de día cero, cuando subían un PDF infectado a un motor publico de búsqueda de Malware.

Las vulnerabilidades fueron detectadas por los investigadores de seguridad del la firma de antivirus  ESET, que posterior a la detección informó sobre los problemas a Adobe y Microsoft, que a su vez los fabricantes repararon en dos meses.

Anton Cherepanov, el investigador de Eset quien publico las vulnerabilidades de día cero, cree que capturo las muestras a causa de que un hacker o varios hackers estaban ajustando los Exploits.

"Las muestras no contenían el payload final, lo cual demuestra que la muestra podría estar aún en etapa de desarrollo"

Las dos vulnerabilidades son CVE-2018-4990 afectando a Adobe Acrobat Reader y CVE-2018-8120 afectando al componente Win32K de Windows.

Los dos atauqes de días cero están destinados a ser utilizados en conjunto y forman una llamada "cadena de explotación". El día cero de Adobe tiene la intención de proporcionar la capacidad de ejecutar código personalizado dentro de Adobe Acrobat / Reader, mientras que el día cero de Windows permite a los atacantes escapar de la protección de espacio aislado de Adobe y ejecutar código adicional en el sistema operativo subyacente.

Cadena de Explotación


La muestra de PDF tenia embebido un código JavaScript el cual controlaba el proceso de explotación. El proceso es el siguiente:

  • El usuario recibe el archivo con carga.
  • Se ejecuta un código javascript Malicioso cuando se abre el PDF
  • El codigo Javascript manipula un objeto boton
  • El objeto boton que consiste en una imagen diseñada, gatila la doble vulnerabilidad en Adobe Acrobat
  • El código Javascript usa tecnicas heap-spray para obtener acceso a la memoria
  • El Javascript ataca el motor de Adobe Reader
  • El atacante utiliza  instrucciones a ejecutar en el codigo shell
  • El código ejecuta un Ejecutable portable embebido en el PDF
  • La vulnerabilidad de DiaCero de Microsoft permite elevar privilegios al ejecutable para correr en modo kernel y obtener acceso al sistema

Cherepanov publicó los dos PDF maliciosos  a finales de marzo. Ambas vulnerabilidades ya estan parchadas por ahora.

SHA: 0608c0d26bdf38e064ab3a4c5c66ff94e4907ccaf98281a104fd99175cdf54a8
SHA : 4b672deae5c1231ea20ea70b0bf091164ef0b939e2cf4d142d31916a169e8e01

(Analisis del Archivo)  https://www.virustotal.com/#/file/0608c0d26bdf38e064ab3a4c5c66ff94e4907ccaf98281a104fd99175cdf54a8/community
(Analisis del Archivo) https://www.virustotal.com/#/file/4b672deae5c1231ea20ea70b0bf091164ef0b939e2cf4d142d31916a169e8e01/detection
(Informe Completo)https://www.welivesecurity.com/2018/05/15/tale-two-zero-days/ 
Tags

Atención!: Hemos usado imagenes que nosotros hemos encontramos como libres, si detectas que alguna imagen te pertenece o consideras que estamos violando algún derecho de Autor avisanos inmediatamente al correo o por Inbox de Facebook y retiraremos la imagen inmediatamente. Solo adjuntanos el link. De ante mano muchas gracias!

Ayudanos a crecer!