La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) ha agregado una vulnerabilidad de Microsoft que se remonta a 2018 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) después de que surgiera evidencia de que está siendo utilizada en una cadena de ataque por la amenaza persistente avanzada APT41 respaldada por China. grupo.
Microsoft abordó por primera vez CVE-2018-0824 en la actualización del martes de parches de mayo de 2018. Es una falla de ejecución remota de código (RCE) en Microsoft COM para Windows resultante de una falla al manejar correctamente los objetos serializados.
Para aprovecharlo con éxito, un atacante debe convencer a un usuario final en riesgo de que abra y ejecute un archivo o script especialmente diseñado para realizar acciones, lo que podría lograrse mediante un ataque de phishing o atrayéndolo a un sitio web comprometido. .
En 2018, Microsoft dijo que la vulnerabilidad no se había divulgado públicamente ni se sabía que hubiera sido explotada, y que el riesgo de que esto sucediera parecía ser relativamente bajo. Sin embargo, el 1 de agosto de 2024, la unidad de investigación de amenazas Talos de Cisco reveló evidencia de una campaña maliciosa de APT41 que aprovechó CVE-2018-0824 en la cadena de ataque.
Esta campaña parece haber comenzado a mediados de 2023 y estaba dirigida a un instituto de investigación afiliado al gobierno ubicado en Taiwán, en el que APT41 entregó el malware ShadowPad, Cobalt Strike y otras herramientas personalizadas para la actividad posterior al compromiso.
Como parte del ataque, los investigadores también descubrieron que APT41 creó un cargador personalizado para inyectar un malware de prueba de concepto (PoC), denominado UnmarshalPwn, que explota CVE-2018-0824 directamente en la memoria. De esta manera pudieron elevar efectivamente sus privilegios dentro de los sistemas de la víctima.
El equipo de Talos, formado por Joey Chen, Ashley Shen y Vitor Ventura, dijo que es posible que APT41 ya haya utilizado la misma cadena de ataque contra otros.
“Con los artefactos que encontramos en esta campaña, giramos y descubrimos algunas muestras e infraestructura que probablemente fueron utilizadas por los mismos actores de amenazas pero en diferentes campañas”, dijeron.
“Aunque no tenemos más visibilidad sobre más detalles sobre estas campañas en este momento, esperamos que al revelar esta información, permita a la comunidad conectar los puntos y aprovechar estos conocimientos para investigaciones adicionales”.
El catálogo KEV de CISA es un recurso diseñado principalmente para aplicar parches rápidos y efectivos en todas las agencias del gobierno federal de EE. UU., que están legalmente obligadas a implementar sus directrices dentro de un plazo específico, en este caso antes del 26 de agosto de 2024, dentro de tres semanas.
Sin embargo, la adición de una vulnerabilidad explotada a la lista es una señal que todas las organizaciones deben conocer y abordar en breve. Más información sobre la cadena de ataque y el análisis de las herramientas utilizadas contra la víctima taiwanesa están disponibles en Cisco Talos.