Nuevas vulnerabilidades de día 0 encontradas en navegadores web

En lo que llevamos de 2021 ya se han detectado 36 vulnerabilidades 0-day (ataque de día 0). Ya son 11 más que en todo el 2020

Datos de Google (Threat Analysis Group)

Según el equipo de seguridad de Google (Threat Analysis Group), se han detectado tres campañas que hacen un uso activo de cuatro vulnerabilidades de día cero (ataque de día 0). Estas tienen como objetivo a los navegadores Chrome, Internet Explorer 11 y Safari.

Las cuatro vulnerabilidades son:

  • CVE-2021-1879: Uso de memoria tras liberación en el componente QuickTimePluginReplacement (Apple WebKit)
  • CVE-2021-21166: Error en el componente Chrome Object Lifecycle del módulo Audio
  • CVE-2021-30551: Confusión de tipos en el motor V8 de Google Chrome
  • CVE-2021-33742: Lectura fuera de los límites en MSHTML de Internet Explorer

Vulnerabilidades de Google Crhome:

Las vulnerabilidades CVE-2021-21166 y CVE-2021-30551 permiten ejecutar código arbitrario de forma remota.

La forma de infección es mediante un enlace hacia un dominio que está bajo su control. Al hacer clic en uno de estos enlaces el usuario es dirigido a una página imitando un sitio legítimo relacionado con la víctima. Es allí cuando se recolecta la información necesaria sobre el dispositivo y luego se puede ejecutar el exploit.

IOCs (indicadores de compromiso):

  • lragir[.]org
  • armradio[.]org
  • asbares[.]com
  • armtimes[.]net
  • armlur[.]org
  • armenpress[.]org
  • hraparak[.]org
  • armtimes[.]org
  • hetq[.]org

Vulnerabilidades de Internet Explorer 11:

Microsoft ya corrigió la vulnerabilidad CVE-2021-33742 el pasado mes de junio, pero se ha detectado que la continúan realizando en usuarios de Internet Explorer 11.

El proceso de infección es similar al de los exploits para Chrome.

IOCs:

  • http://lioiamcount[.]com/IsnoMLgankYg6/EjlYIy7cdFZFeyFqE4IURS1
  • http://db-control-uplink[.]com/eFe1J00hISDe9Zw/gzHvIOlHpIXB
  • http://kidone[.]xyz/VvE0yYArmvhyTl/GzV

Vulnerabilidades de WebKit (Safari):

Este exploit de origen ruso, no guarda ninguna relación con los anteriores.

A través de un mensaje de LinkedIn se intenta atacar a oficiales de gobiernos de Europa del Este. Cuando la víctima visita el enlace desde un dispositivo iOS 12.4-13.7 el exploit intentará exfiltrar información sobre cookies de sesión y páginas web abiertas en el navegador Safari del dispositivo.

IOCs:

  • supportcdn.web[.]app
  • vegmobile[.]com
  • 111.90.146[.]198

Durante los últimos años y especialmente en los de post pandemia ha habido un aumento exponencial de atacantes que utilizan exploits de día 0.

Esto quiere decir que se están cerrando muchas vulnerabilidades conocidas, pero a su vez existe una demanda creciente en el mercado ilegal para obtener nuevas herramientas delictivas.

Por lo que, viendo estas tendencias, las mejoras en la detección y una cultura creciente de divulgación probablemente será la única solución para combatir las vulnerabilidades de día 0 detectados en 2021.

Los técnicos en ciberseguridad sospechan que, en general, la industria actualmente solo detecta un pequeño porcentaje de los 0 días que realmente se utilizan. Aumentar la detección de estos exploits de día 0 es algo bueno: permite solucionar vulnerabilidades y proteger a los usuarios, y permite a la larga, que se pueda tomar decisiones más informadas sobre cómo prevenir y combatirlo.

Por ahora la solución por parte de los programadores de software es tener una respuesta rápida en el parcheo de estas vulnerabilidades. Nosotros, los usuarios, como siempre, deberemos tomar medidas de prevención y estar actualizados.

Comparte este contenido:

Deja un comentario

Alertas de seguridad

Mantente informado, recíbelas a tu email