Se encontraron dos exploits de día cero después de que alguien subió PoC "desarmado" a VirusTotal.
Investigadores de seguridad de Microsoft revelaron detalles de dos vulnerabilidades críticas e importantes de día cero que se descubrieron recientemente después de que alguien cargó un archivo PDF malicioso en VirusTotal y se parcheó antes de ser utilizado.
A fines de marzo, los investigadores de ESET encontraron un archivo PDF malicioso en VirusTotal, que compartieron con el equipo de seguridad de Microsoft "como un exploit potencial para una vulnerabilidad desconocida del kernel de Windows".
Después de analizar el archivo PDF malicioso, el equipo de Microsoft descubrió que el mismo archivo incluye dos exploits diferentes de día cero: uno para Adobe Acrobat y Reader y el otro para Microsoft Windows.
Dado que los parches para ambas vulnerabilidades se lanzaron en la segunda semana de mayo, Microsoft dio a conocer los detalles de ambas vulnerabilidades en la actualidad, después de dar a los usuarios el tiempo suficiente para actualizar sus sistemas operativos vulnerables y el software de Adobe.
Según los investigadores, el PDF malicioso que incluía tanto el exploit de días cero estaba en la etapa de desarrollo inicial, "dado el hecho de que el PDF en sí no entregó una carga maliciosa y parecía ser un código de prueba de concepto (PoC). "
Parece que alguien que podría haber combinado ambos días cero para construir un arma cibernética extremadamente poderosa había perdido involuntaria y erróneamente el juego al cargar su vulnerabilidad de subdesarrollo a VirusTotal.
Las vulnerabilidades de día cero en cuestión son un error de ejecución remota de código en Adobe Acrobat y Reader (CVE-2018-4990) y un error de escalamiento de privilegios en Microsoft Windows (CVE-2018-8120).
"El primer exploit ataca el motor javascript de Adobe para ejecutar Shellcode en el contexto de ese módulo", dice Matt Oh, ingeniero de seguridad de Windows Defender ATP Research.
"El segundo exploit, que no afecta a las plataformas modernas como Windows 10, permite que el shellcode escape del entorno limitado de Adobe Reader y se ejecute con privilegios elevados desde la memoria del kernel de Windows".
El exploit de Adobe Acrobat y Reader se incorporó en un documento PDF como una imagen JPEG 2000 creada con fines malintencionados que contiene el código de explotación de javascript, que desencadena una vulnerabilidad de doble libre en el software para ejecutar Shellcode.
Aprovechando la ejecución del shellcode desde la primera vulnerabilidad, el atacante usa el segundo exploit del kernel de Windows para romper el sandbox de Adobe Reader y ejecutarlo con privilegios elevados.
Debido a que esta muestra maliciosa de PDF estaba en desarrollo en el momento de la detección, al parecer incluía una carga útil simple de PoC que arrojaba un archivo vbs vacío en la carpeta de Inicio.
"Inicialmente, los investigadores de ESET descubrieron la muestra en PDF cuando se cargó en un repositorio público de muestras maliciosas", concluyeron los investigadores de ESET.
"La muestra no contiene una carga útil final, lo que puede sugerir que fue capturada durante sus primeras etapas de desarrollo. Aunque la muestra no contiene una carga útil final real maliciosa, el autor demostró un alto nivel de habilidades en el descubrimiento de vulnerabilidades y explotar la escritura ".
Desde entonces, Microsoft y Adobe lanzaron las actualizaciones de seguridad correspondientes para ambas vulnerabilidades en mayo. Para obtener más detalles técnicos de los exploits, puede dirigirse a los blogs de Microsoft y ESET.
Fuente: https://thehackernews.com/2018/07/windows-adobe-zero-exploit.html
Saludos.