Microsoft cierra los exploits de día cero utilizados en el kit de espionaje del gobierno
Microsoft ha revelado que una serie de parches de seguridad recientes fueron diseñados para evitar que dos exploits de día cero se vendan como parte de un kit de espionaje a gobiernos autoritarios y agencias de espionaje en todo el mundo.
El equipo de espionaje, supuestamente vendido por el equipo de seguridad israelí Candiru, se ha utilizado para atacar a políticos, periodistas, trabajadores de derechos humanos, académicos, disidentes y más, con al menos 100 víctimas. Si bien 100 es una cifra comparativamente baja en comparación con otros ataques o brechas de seguridad importantes, el kit de espionaje es una herramienta muy avanzada que se utiliza para atacar a personas.
Como tal, las víctimas de este kit y las vulnerabilidades de día cero probablemente sean personas de alto perfil con información valiosa sobre temas potencialmente sísmicos.
Microsoft trabaja con Citizen Lab para eliminar exploits
El blog oficial de seguridad de Microsoft confirma el descubrimiento de un "actor ofensivo del sector privado" en posesión de dos exploits de día cero de Windows ( CVE-2021-31979 y CVE-2021-33771 ).
Microsoft apodó al actor de amenazas SOURGUM, y señaló que el equipo de seguridad de Microsoft cree que es una empresa del sector privado israelí que vende herramientas de ciberseguridad a agencias gubernamentales de todo el mundo. En colaboración con Citizen Lab, el laboratorio de vigilancia de redes y derechos humanos de la Universidad de Toronto, Microsoft cree que el malware y el kit de explotación que utiliza SOURGUM "se ha dirigido a más de 100 víctimas en todo el mundo".
El informe de Citizen Lab sobre los exploits menciona explícitamente a Candiru, "una empresa secreta con sede en Israel que vende software espía exclusivamente a los gobiernos". El software espía desarrollado por Candiru "puede infectar y monitorear iPhones, Androids, Mac, PC y cuentas en la nube".
El equipo de seguridad de Microsoft observó víctimas en Palestina, Israel, Irán, Líbano, Yemen, España, Reino Unido, Turquía, Armenia y Singapur, con muchas víctimas operando en áreas, roles u organizaciones sensibles. Los clientes de Candiru reportados incluyen Uzbekistán, Arabia Saudita y los Emiratos Árabes Unidos, Singapur y Qatar, con otras ventas reportadas en Europa, naciones de la ex Unión Soviética, el Golfo Pérsico, Asia y América Latina.
Los parches de seguridad eliminan los exploits de día cero
Un exploit de día cero es una vulnerabilidad de seguridad inédita que un atacante utiliza para violar un sitio, un servicio o de otro modo. Como las empresas de seguridad y tecnología desconocen su existencia, permanece sin parches y vulnerable.
En este caso, la compañía israelí supuestamente detrás del desarrollo del kit de espionaje utilizó dos exploits de día cero para obtener acceso a productos previamente seguros, integrados en una variante de malware única denominada DevilsTongue.
Si bien los ataques de esta naturaleza son preocupantes, a menudo son operaciones muy específicas que no suelen afectar a los usuarios habituales. Además, Microsoft ahora ha parcheado los exploits de día cero utilizados por el malware DevilsTongue, lo que hace que esta variante en particular sea inútil. Los parches se publicaron en el martes de parches de julio de 2021, que se publicó el 6 de julio.