MisterySnail: otra amenaza para Windows

Para algunos, hablar del final del verano nos recuerda al Dúo Dinámico (ya sea directamente por su canción o por la aparición de la misma en Verano Azul), a otros les suena a nostalgia, para no menos es el final del calor sofocante… y para Windows, y los técnicos de Kaspersky, es hablar de MisterySnail, una amenaza que ha vuelto a poner en jaque al sistema operativo de Microsoft en muchas de sus versiones (tanto de escritorio como servidor) y que, afortunadamente, ya ha sido parcheada.

Todo comienza, según podemos leer en SecureList, cuando la telemetría de Kaspersky empieza a detectar intentos de elevación de privilegios en varios sistemas que corren Windows Server. Es la primera toma de contacto con MisterySnail, pero todavía no lo saben. Al contrario, y consecuencia de bastantes similitudes con un exploit ya identificado previamente, y firmado por el grupo chino IronHusky, piensan que se enfrentan a un viejo conocido que explota la vulnerabilidad CVE-2016-3309 , identificada hace más de cinco años, en agosto de 2016. Raro, pero factible.

Sin embargo, cuando los técnicos profundizaron en el análisis, detectaron que este exploit reciclaba elementos del anterior, pero los sumaba a código nuevo y, lo que es más importante, hacía uso de una nueva vulnerabilidad, tan nueva que en realidad todavía no había sido identificada. Así, pues, no estábamos hablando de un viejo conocido, sino de un zero-day que estaba siendo activamente explotado por una organización cibercriminal. Un nuevo exploit basado en una nueva vulnerabilidad merecía un nombre propio. En ese punto es en el que «nace» MisterySnail.

Con la nueva vulnerabilidad detectada, Kaspersky informó de la misma a Microsoft. El problema afecta al controlador Win32k, y explotada adecuadamente permite acceder a información reservada del kernel de Windows. Dado que se trata de un componente presente en muchas versiones de Windows, MisterySnail afecta a todas estas versiones del sistema operativo:

Microsoft Windows Vista
Microsoft Windows 7
Microsoft Windows 8
Microsoft Windows 8.1
Microsoft Windows Server 2008
Microsoft Windows Server 2008 R2
Microsoft Windows Server 2012
Microsoft Windows Server 2012 R2
Microsoft Windows 10 (compilación 14393)
Microsoft Windows Server 2016 (compilación 14393)
Microsoft Windows 10 (compilación 17763)
Microsoft Windows Server 2019 (compilación 17763)

Ya en manos de Microsoft, la compañía documentó la vulnerabilidad explotada por MisterySnail y le asignó el identificador CVE-2021-40449, a la que asignó un nivel de severidad importante. Y en respuesta, finalmente se publicó un parche el pasado 12 de octubre. Un parche que, sobra decirlo, debería ser instalado de inmediato en todos los sistemas potencialmente afectados.

No obstante, todos los usos in the wild detectados por Kaspersky en los que el grupo chino ha empleado MisterySnail se han dirigido a servidores con Windows Server, especialmente en campañas dirigidas contra empresas de TI, contratistas militares y de defensa, así como entidades diplomáticas. Por lo tanto, todo apunta a que IronHusky lo está empleando en labores de ciberespionaje. Así pues, cualquier empresa y organización susceptible de ciberespionaje y ciberataques de carácter político y militar, deben ser las primeras en hacerlo.

La entrada MisterySnail: otra amenaza para Windows es original de MuySeguridad. Seguridad informática.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *