Microsoft cierra los exploits de día cero utilizados en el kit de espionaje del gobierno

Microsoft ha revelado que una serie de parches de seguridad recientes fueron diseñados para detener dos explotaciones que se venden como parte de un kit de espionaje a gobiernos autoritarios y agencias de espionaje Mundial.

El equipo de espionaje, supuestamente vendido por el equipo de seguridad israelí Candiru, se ha utilizado para apuntar políticos, periodistas, trabajadores de derechos humanos, académicos, disidentes y más, con al menos 100 víctimas. Si bien 100 es una cifra comparativamente baja en comparación con otros ataques o violaciones de seguridad importantes, el kit de espionaje es una herramienta muy avanzada que se utiliza para atacar a personas.

Como tal, las víctimas de este kit y los exploits de día cero probablemente sean personas de alto perfil con información valiosa sobre temas potencialmente sísmicos.

Microsoft trabaja con Citizen Lab para eliminar exploits

El oficial Blog de seguridad de Microsoft confirma el descubrimiento de un "actor ofensivo del sector privado" en posesión de dos exploits de día cero de Windows (CVE-2021-31979 y CVE-2021-33771).

Microsoft apodó al actor de amenazas SOURGUM, y señaló que el equipo de seguridad de Microsoft cree que es una empresa del sector privado israelí que vende herramientas de ciberseguridad a agencias gubernamentales de todo el mundo. Trabajando con Citizen Lab, el laboratorio de vigilancia de redes y derechos humanos de la Universidad de Toronto, Microsoft cree que el kit de exploits y malware utilizado por SOURGUM ha "dirigido a más de 100 víctimas en todo el mundo."

Relacionados: Comprender el malware: los tipos comunes que debe conocer

Citizen Lab's informe sobre las vulnerabilidades nombra explícitamente a Candiru, "una empresa secreta con sede en Israel que vende software espía exclusivamente a "El software espía desarrollado por Candiru" puede infectar y monitorear iPhones, Androids, Mac, PC y cuentas en la nube ".

El equipo de seguridad de Microsoft observó víctimas en Palestina, Israel, Irán, Líbano, Yemen, España, Estados Reino Unido, Turquía, Armenia y Singapur, con muchas víctimas operando en áreas sensibles, roles o Organizaciones. Los clientes de Candiru reportados incluyen Uzbekistán, Arabia Saudita y los Emiratos Árabes Unidos, Singapur y Qatar, con otras ventas reportadas en Europa, naciones de la ex Unión Soviética, el Golfo Pérsico, Asia y América Latina.

Los parches de seguridad eliminan los exploits de día cero

Un exploit de día cero es una vulnerabilidad de seguridad inédita que un atacante utiliza para violar un sitio, un servicio o de otro modo. Como las empresas de seguridad y tecnología desconocen su existencia, permanece sin parches y vulnerable.

En este caso, la empresa israelí supuestamente detrás del desarrollo del kit de espionaje utilizó dos dispositivos de día cero. exploits para obtener acceso a productos previamente seguros, integrados en una variante de malware única denominada DevilsTongue.

Si bien los ataques de esta naturaleza son preocupantes, a menudo son operaciones muy específicas que no suelen afectar a los usuarios habituales. Además, Microsoft ahora ha parcheado los exploits de día cero utilizados por el malware DevilsTongue, lo que hace que esta variante en particular sea inútil. Los parches se publicaron en el martes de parches de julio de 2021, que se publicó el 6 de julio.

Microsoft les dice a los usuarios que apaguen la impresora en cola para protegerse contra la explotación de día cero

El día cero de PrintNightmare se está explotando activamente.

Leer siguiente

Sobre el Autor

Expandir para leer la historia completa