Shadow Hackers revelan accidentalmente dos días cero a los investigadores de seguridad

Shadow Hackers revelan accidentalmente dos días cero a los investigadores de seguridad

Un grupo de hackers no identificados parece haber expuesto accidentalmente dos días cero totalmente operativos cuando cargaron un archivo PDF armado a un motor de análisis de malware público.

Los zero-day fueron detectados por los investigadores de seguridad del vendedor de antivirus eslovaco ESET, que informó sobre los problemas a Adobe y Microsoft, que a su vez los reparó en dos meses.

Zero-days capturados mientras todavía están en desarrollo

Anton Cherepanov, el investigador de ESET que descubrió los Zero-days ocultos en el mar de muestras de malware, cree que atrapó los días cero mientras los misteriosos hackers seguían trabajando para afinar sus hazañas.

"La muestra no contiene una carga útil final, lo que puede sugerir que fue atrapada durante sus primeras etapas de desarrollo", dijo Cherepanov.

Los dos zero-days son CVE-2018-4990, que afectan al visualizador de Adobe Acrobat/Reader PDF, y CVE-2018-8120, que afectan al componente Win32k de Windows.

Los dos zero-days están destinados a ser utilizados en conjunto y forman una "cadena de explotación". El zero-day de Adobe tiene la intención de proporcionar la capacidad de ejecutar código personalizado dentro de Adobe Acrobat/Reader, mientras que el zero-day de Windows permite a los atacantes escapar de la protección del espacio aislado de Adobe y ejecutar código adicional en el sistema operativo subyacente.

Cómo funciona la cadena de exploits

"El ejemplo malicioso de PDF incorpora código JavaScript que controla todo el proceso de explotación. Una vez que se abre el archivo PDF, se ejecuta el código JavaScript", escribió Cherepanov en un informe que detalla la cadena de exploits hoy, que puede reducirse a los siguientes pasos:

➡️ El usuario recibe y abre el archivo PDF boobytrapped
➡️ El código JavaScript malicioso se ejecuta cuando el usuario abre el PDF
➡️ El código de JavaScript manipula un objeto de botón
➡️ Objeto de botón, que consiste en una imagen JPEG2000 especialmente diseñada, desencadena una vulnerabilidad de doble libre en Adobe Acrobat/Reader
➡️ El código de JavaScript usa técnicas de "heap-spray" para obtener acceso a la memoria de lectura y escritura
➡️ El código de JavaScript ataca al motor de JavaScript de Adobe Reader
➡️ El atacante usa las instrucciones de ensamblaje nativo del motor para ejecutar su propio shellcode nativo
➡️ Shellcode inicializa un archivo PE incrustado en el PDF
➡️ La parte de Microsoft Win32k permite al atacante elevar el privilegio del archivo PE para ejectarse, que se ejecuta en modo kernel, saliendo del entorno limitado de Adobe Acrobat/Reader al acceso a nivel del sistema.

La cadena de exploits es una obra maestra de hacking ofensivo, pero nunca sería tan peligrosa como podría haber sido por un error operativo que sus creadores cometieron al cargarlo en un conocido motor de exploración de virus (Virus Total) con la esperanza de probar su nivel de detección.

Cherepanov descubrió dos muestras PDF sospechosas a fines de marzo. Ambos zero-days ahora están parcheados. Microsoft parcheó CVE-2018-8120 la semana pasada, en el Parche de mayo de 2018 del martes, y Adobe parchó CVE-2018-4990 ayer en APSB18-09.

Muestras en Virus Total: PDF 1, PDF 2