El siguiente texto proviene de un comunicado de prensa y de ninguna manera refleja la opinión de la redacción.
• El análisis de exploits descubrió la primera vulnerabilidad, asignada a CVE-2024-9680: un error de uso después de la liberación en la función de línea de tiempo de animación de Firefox. ESET informó la vulnerabilidad a Mozilla el 8 de octubre de 2024; fue corregido durante el día.
• Esta vulnerabilidad crítica tiene una puntuación de 9,8 sobre 10.
• Un análisis más detallado reveló otra vulnerabilidad de día cero en Windows: un error de escalada de privilegios, asignado a CVE 2024 49039, que permite que el código se ejecute fuera del entorno limitado de Firefox. Microsoft lanzó una solución para este error el 12 de noviembre de 2024.
• Juntas, las dos vulnerabilidades de día cero proporcionaron a RomCom un exploit que no requiere interacción del usuario más que navegar por un sitio web especialmente diseñado.
• Las víctimas potenciales que visitaron sitios web que alojaban el exploit estaban ubicadas principalmente en Europa y América del Norte.
MONTREAL, BRATISLAVA, 26 de noviembre de 2024 — Los investigadores de ESET descubrieron CVE-2024-9680 en productos Mozilla, una vulnerabilidad previamente desconocida explotada por el grupo APT RomCom vinculado a Rusia. Un análisis más detallado reveló otra vulnerabilidad de día cero en Windows: un error de escalada de privilegios, ahora asignado a CVE-2024-49039. Cuando en un ataque exitoso una víctima ve una página web que contiene el exploit, un adversario puede ejecutar código arbitrario, sin ninguna interacción del usuario (cero clics), lo que lleva a la instalación de la puerta RomCom robada de la computadora de la víctima. Esta puerta utilizada por el grupo es capaz de ejecutar comandos y descargar módulos adicionales al dispositivo de la víctima. La vulnerabilidad relacionada con Mozilla descubierta el 8 de octubre por ESET Research tiene una puntuación CVSS de 9,8 en una escala de 0 a 10. Para 2024, RomCom afectará a Ucrania y otros países europeos, así como a Estados Unidos. Según la telemetría de ESET, del 10 de octubre de 2024 al 4 de noviembre de 2024, las víctimas potenciales que visitaron los sitios web que albergan el exploit se encontraban principalmente en Europa y América del Norte.
El 8 de octubre de 2024, los investigadores de ESET descubrieron la vulnerabilidad CVE-2024-9680. Este es un error de uso después de la liberación en la función de línea de tiempo de animación de Firefox. Mozilla parchó la vulnerabilidad el 9 de octubre de 2024. Un análisis más detallado reveló otra vulnerabilidad de día cero en Windows: un error de escalada de privilegios, ahora asignado a CVE 2024 49039, que permite que el código se ejecute fuera del entorno limitado de Firefox. El 12 de noviembre de 2024, Microsoft lanzó un parche para esta segunda vulnerabilidad.
La vulnerabilidad CVE-2024-9680, descubierta el 8 de octubre, permite que las versiones vulnerables de Firefox, Thunderbird y el navegador Tor ejecuten código en el contexto restringido del navegador. Con la vulnerabilidad aún desconocida de Windows CVE-2024-49039, que tiene una puntuación CVSS de 8,8, se puede ejecutar código arbitrario en el contexto del usuario que ha iniciado sesión. Usadas juntas, las dos vulnerabilidades de día cero proporcionan a RomCom un exploit que no requiere interacción del usuario. Este nivel de sofisticación demuestra la intención y los medios de RomCom para obtener o desarrollar capacidades sigilosas. Además, los intentos exitosos de explotación han implementado con éxito la puerta trasera de RomCom en lo que parece ser una campaña a gran escala.
RomCom (también conocido como Storm-0978, Tropical Scorpius o UNC2596) es un grupo prorruso que lleva a cabo campañas oportunistas contra industrias seleccionadas y operaciones de espionaje dirigidas. El grupo ahora se centra en operaciones de espionaje para recopilar inteligencia, junto con operaciones de cibercrimen más convencionales. En 2024, ESET descubrió las operaciones de ciberespionaje y cibercrimen de RomCom contra entidades gubernamentales, los sectores de defensa y energía en Ucrania, los sectores farmacéutico y de seguros en EE. UU., el sector legal en Alemania y entidades gubernamentales en Europa.
“La cadena de compromiso consiste en un sitio web falso que redirige a la víctima potencial al servidor que aloja el exploit y, si tiene éxito, se ejecuta un código shell que descarga y ejecuta la puerta trasera RomCom. No sabemos cómo se distribuye el enlace al sitio web falso. Si se accede a la página utilizando un navegador vulnerable, se suelta una carga útil y se ejecuta en la computadora de la víctima sin que se requiera ninguna interacción del usuario”, dice Damien Schaeffer, investigador de ESET, que descubrió ambas vulnerabilidades. Y agregó: “Agradecemos al equipo de Mozilla por su gran capacidad de respuesta y su impresionante ética de trabajo al lanzar un parche en un día”. Cada vulnerabilidad ha sido reparada, respectivamente, por Mozilla y Microsoft.
Esta es al menos la segunda vez que se descubre a RomCom explotando una importante vulnerabilidad de día cero ‘en estado salvaje’, tras el abuso de CVE-2023-36884 a través de Microsoft Word en junio de 2023.
Para obtener un análisis más detallado y un análisis técnico de las vulnerabilidades descubiertas, consulte el último blog de investigación de ESET “RomCom explota Firefox y Windows cero días en estado salvaje” en www.welivesecurity.com. Siga también a ESET Research en Twitter ESET Research en Twitter (hoy conocido como X) para conocer las últimas noticias sobre investigación.
