A principios de 2021, los investigadores de Kaspersky descubrieron un exploit de día cero en Desktop Window Manager mientras analizaban el exploit CVE-2021-1732, reportado anteriormente y utilizado por el grupo BITTER APT.
La compañía de ciberseguridad le comunicó a Microsoft el hallazgo de esta vulnerabilidad en febrero y la compañía lanzó un parche para corregirla este mismo martes, 13 de abril.
Según los investigadores, este exploit, que recibió la denominación CVE-2021-28310, se usa "in-the-wild", potencialmente por varios actores de amenaza aunque de momento no lo han podido vincular a ninguno concreto. Se trata de un exploit de escalada de privilegios (EoP), encontrado en Desktop Window Manager, que permite a los atacantes ejecutar código arbitrario en el ordenador de la víctima.
Asimismo, es probable que el exploit se utilice junto a otros exploits del navegador para escapar del sandbox u obtener privilegios del sistema para un mayor acceso. En este sentido, cabe señalar que la investigación inicial de Kaspersky no ha revelado la cadena de infección completa, por lo que todavía no se sabe si el exploit se usa con otro día cero o se combina con vulnerabilidades conocidas y parcheadas.
"El exploit fue identificado inicialmente por nuestra avanzada tecnología de prevención de exploits y los registros de detección correspondientes. De hecho, en los últimos años hemos incorporado a nuestros productos una multitud de tecnologías de protección contra exploits que han detectado varios días cero, demostrando su eficacia una y otra vez. Seguiremos mejorando la protección para nuestros usuarios mediante la mejora de nuestras tecnologías y la colaboración con terceros proveedores para parchear las vulnerabilidades, haciendo que Internet sea más segura para todos", comenta Boris Larin, experto en seguridad de Kaspersky.
Consejos para mantenerse a salvo de esta amenaza
Con el fin de ayudar a los usuarios a protegerse frente esta amenaza, Kaspersky ha recomendado seguir las siguientes medidas de seguridad:
- Instalar los parches para la nueva vulnerabilidad lo antes posible. Una vez descargados, los ciberdelincuentes ya no pueden abusar de la vulnerabilidad.
- Las capacidades de gestión de vulnerabilidades y parches de una solución de protección para los endpoints pueden simplificar considerablemente la tarea de los responsables de seguridad informática.
- Proporcionar al equipo SOC acceso a la última inteligencia sobre amenazas (IA).
- Además de adoptar la protección básica para endpoints, implementar una solución de seguridad corporativa que detecte las amenazas avanzadas a nivel de red en una etapa temprana.