Identificado Malware para CVE-2018-8453 reportado el martes 16 Octubre 2018

La mañana de ayer martes 16 de octubre 2018 reportamos los parches liberados por Microsoft y Adobe para varias vulnerabilidades Críticas e Importantes. En particular  CVE-2018-8453, informamos además que existían pruebas de concepto y que se observaron exploits para esta vulnerabilidad.

CVE-2018-8453 afecta a todas las versiones soportadas de Windows

CVE-2018-8453, identificada originalmente por Kaspersky Labs, permite escalar privilegios en Windows y se han observado exploit en organizaciones del Medio Oriente.

La vulnerabilidad afecta el componente Win32k.sys, en términos de como maneja objetos en memoria. La falla fue reportada a Microsoft el 17 de agosto y se informó que ya estaba siendo explotada por un grupo APT denominado “FruityArmor”, esta organización está orientada al Ciber espionaje y se dirigen a activistas, investigadores e individuos relacionados con entes gubernamentales. El exploit de día cero fue parte de un instalador de Malware usado por FruityArmor.  El payload o carga útil final inyectado por el Malware es un código avanzado que logra acceso persistente al dispositivo de la victima.

Es importante comentar que desde el pasado martes 9 de octubre Microsoft liberó el parche para esta falla, por lo que la primera recomendación es PARCHEAR URGENTEMENTE. Recordemos que la vulnerabilidad en el SMB 1.0 fue parcheada por Microsoft 4 meses antes del ataque de WannaCry.

Recomendaciones:

  • Parches al día priorizando equipos críticos, personal critico y vulnerabilidades criticas como CVE-2018-8453.
  • Antimalware basado en Inteligencia Artificial o en su defecto mantener al día las huellas de su antivirus.
  • Validar, de forma aislada y controlada, la legitimidad de un correo no solicitado con anexos. Si no puede validarlo, ELIMINELO sin abrirlo.
  • Buscar indicadores de compromiso IoC en su ambiente.
  • Bloquear todo el trafico URL o IP asociado con estos indicadores de compromiso.
Fuentes:
https://securityaffairs.co/wordpress/52504/cyber-crime/fruityarmor-apt-0day.html
https://securityaffairs.co/wordpress/77003/apt/cve-2018-8453-win-0day.html
https://securelist.com/cve-2018-8453-used-in-targeted-attacks/88151/

En ADV Integradores y consultores estamos a su disposición para apoyarlos con la estrategia de ciberseguridad que permita hacer frente a este tipo de amenazas, definiendo procesos efectivos que gestionen las vulnerabilidades que es uno de los principales retos a atender todos los que tenemos como responsabilidad mejorar la postura de seguridad de las organizaciones.

Jesús Dubront, CISM
Director
ADV Integradores y consultores
jesus.dubront@adv-ic.com | @jdubront | http://www.adv-ic.com | @adv_ic | Linkedin:ADVIntegradores y consultores | Facebook:ADVIntegradoresyconsultores

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s