Como parte de su lanzamiento del martes de parche de agosto de 2020, Microsoft ha abordado un total de 120 vulnerabilidades en 13 productos, incluidas dos fallas de día cero explotadas activamente en la naturaleza.
La primera falla, rastreada como CVE-2020-1464 , reside en el sistema operativo Windows y está relacionada con Windows que valida incorrectamente las firmas de archivos. La vulnerabilidad permite que un atacante eluda las funciones de seguridad y cargue archivos firmados incorrectamente.
CVE-2020-1464 afecta a varias versiones de Windows, incluidos Windows 7 y Windows Server 2008, que ya no son compatibles.
El segundo problema ( CVE-2020-1380 ) es un error de ejecución remota de código, que existe debido a cómo el motor de secuencias de comandos que utiliza Internet Explorer maneja los objetos en la memoria. La vulnerabilidad fue informada a Microsoft por investigadores de Kaspersky Lab.
“La vulnerabilidad podría dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual. Un atacante que aproveche con éxito la vulnerabilidad podría obtener los mismos derechos de usuario que el usuario actual. Si el usuario actual ha iniciado sesión con derechos de usuario administrativo, un atacante que aproveche con éxito la vulnerabilidad podría tomar el control de un sistema afectado. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con todos los derechos de usuario ”, explica Microsoft.
Para aprovechar esta vulnerabilidad, un atacante necesita crear un sitio web malicioso y engañar a la víctima para que lo visite y luego convencer al usuario de que abra un documento de Office malicioso.
Si bien Microsoft no reveló ningún detalle sobre los ataques que explotan estas fallas, Kaspersky Lab ha compartido información sobre los presuntos culpables de los ataques.
Los investigadores dijeron que previnieron un ataque, al que llamaron "Operación PowerFall" en una empresa surcoreana no revelada en mayo de este año, que aprovechó un script malicioso para Internet Explorer. La investigación reveló que el ataque "utilizó una cadena completa previamente desconocida que consistía en dos exploits de día cero: un exploit de ejecución remota de código para Internet Explorer y un exploit de elevación de privilegios para Windows".
Si bien Kaspersky Lab no pudo atribuir la campaña Operation PowerFall a ningún grupo de amenazas conocido, la firma dice que algunas similitudes con exploits previamente descubiertos pueden sugerir la participación del grupo DarkHotel APT previamente vinculado por investigadores a Corea del Norte.
