La compañía halló una nueva vulnerabilidad (CVE-2016-0034) de día cero en Silverlight, una tecnología web que se utiliza para mostrar contenido multimedia, la cual permite a un atacante obtener acceso completo a una computadora comprometida y ejecutar código malicioso para robar información confidencial y realizar otras acciones ilegales.
La vulnerabilidad se remedió con el último parche de actualización emitido por Microsoft el 12 de enero de 2016. El descubrimiento fue el resultado de una investigación que comenzó hace más de cinco meses a partir de un artículo publicado por Ars Technica.
En el verano de 2015, una historia sobre el ataque de hackers contra la compañía Hacking Team (un desarrollador conocido de «spyware legal») llegó a los medios. Uno de los artículos sobre el tema, publicado en Ars Technica, mencionó correspondencia filtrada supuestamente entre representantes de Hacking Team y Vitaliy Toropov, un creador de exploits independiente. Entre otras cosas, el artículo describió la correspondencia en la que Toropov intentó vender una vulnerabilidad de día cero particularmente interesante a Hacking Team: un exploit de cuatro años de antigüedad y aún sin parchar, en la tecnología Silverlight de Microsoft. Este dato despertó el interés de los investigadores de Kaspersky Lab.
Los investigadores descubrieron que en 2013, Toropov había publicado una prueba de concepto (POC), la cual describía un error en la tecnología Silverlight. La prueba de concepto cubría una vieja vulnerabilidad que era conocida y actualmente parchada. Sin embargo, también contenía detalles adicionales que le dieron a los investigadores una pista acerca de cómo el autor del exploit escribe el código.
Durante el análisis sobresalieron algunas cadenas únicas en el código. Con esta información se crearon varias reglas de detección para las tecnologías de protección de la firma: una vez que un usuario accedía a compartir datos de amenazas con Kaspersky, se encontraba software malicioso que demostraba el comportamiento cubierto por dichas reglas especiales de detección, el sistema marcaba el archivo como altamente sospechoso y le enviaba una notificación a la empresa para su análisis.
La lógica detrás de esta táctica era simple: si Toropov trató de vender un exploit de día cero a Hacking Team, era muy probable que haya hecho lo mismo con otros proveedores de spyware. Como resultado de esta actividad, otras campañas cibernéticas de espionaje podrían estar usándolo activamente para atacar e infectar a víctimas desprevenidas.
Varios meses después de la implementación de las reglas especiales de detección, un cliente reportó a los laboratorios de la firma haber sido blanco de un ataque que utilizó un archivo sospechoso con las características que se buscaban. Varias horas después, alguien (posiblemente una víctima de los ataques) de Laos subió un archivo con las mismas características a un servicio multiscanner. Los expertos de Kaspersky Lab analizaron el ataque y descubrieron que en realidad aprovechaba un error desconocido en la tecnología Silverlight. La información sobre el error se reveló inmediatamente a Microsoft para su validación.
«Aunque no sabemos si el exploit que descubrimos es el que fue mencionado en el artículo de Ars Technica, tenemos fuertes razones para creer que es el mismo. Comparar el análisis de este archivo con el trabajo previo de Vitaliy Toropov, nos hace pensar que el autor del exploit recién descubierto y el autor de las pruebas de concepto publicadas en OSVDB a nombre de Toropov, son la misma persona”, comentó Costin Raiu, director del Equipo de Análisis e Investigación Global de Kaspersky Lab.
El directivo explicó que no se excluye la posibilidad de que se haya descubierto otro exploit de día cero en Silverlight. De esta forma, Raiu afirmó: “En general, esta investigación ayudó a hacer del ciberespacio un lugar un poco más seguro mediante el descubrimiento de un día cero y revelarlo de manera responsable. Alentamos a todos los usuarios de productos Microsoft para que actualicen sus sistemas lo más pronto posible para parchar esta vulnerabilidad».
