Los especialistas de la firma de ciberseguridad Trend Micro han confirmado que un hacker o grupo de hackers ha comenzado a explotar una falla en sus soluciones antivirus con el fin de obtener privilegios de administrador en algunos sistemas Windows. Identificada como CVE-2020-24557, esta vulnerabilidad reside en Apex One y OfficeScan XG, dos productos de seguridad especialmente diseñados para clientes empresariales.
Esta falla fue reportada hace unos meses por Christopher Vella, un investigador de Microsoft que notificó a los creadores de estos productos a través del programa de reporte de vulnerabilidades Zero-Day Initiative.
Si bien la falla fue corregida en 2020, una actualización de seguridad menciona que el error habría sido empleado para atacar a algunos clientes empresariales que no han actualizado las implementaciones vulnerables: “La falla específica existe dentro de la lógica que controla el acceso a la carpeta Misc”, mencionó el reporte inicial. “Los atacantes puede aprovechar esta vulnerabilidad para escalar privilegios y ejecutar código en el contexto de SYSTEM”.
Según este reporte, la falla no puede usarse para ingresar a los sistemas, aunque se ha empleado como un segundo paso en una cadena de exploits de múltiples fases después de que los hackers instalan código malicioso en la computadora del usuario. A pesar de que Trend Micro no compartió ningún detalle sobre los hackers explotado esta falla, una fuente cercana a los reportes menciona que el error fue utilizado por una amenaza persistente avanzada (APT).
Esta es la cuarta vulnerabilidad en los productos de seguridad Apex One y OfficeScan XG que se ha explotado en escenarios reales después de CVE-2019-18187, CVE-2020-8467 y CVE-2020-8468; las tres primeras fallas fueron explotadas en 2019 y 2020, mientras que la primera fue utilizada por un grupo de ciberespionaje chino durante un ataque a la compañía Mitsubishi Electric.
Las noticias sobre hackers explotando vulnerabilidad de Trend Micro llegan un día después de que FireEye revelara que varios grupos cibercriminales habían explotado una falla día cero en los productos Pulse Secure y SonicWall.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).