La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad de Microsoft que data de 2018 a su catálogo de vulnerabilidades explotadas conocidas (KEV) después de que surgiera evidencia de que está siendo utilizada en una cadena de ataques por el grupo de amenazas persistentes avanzadas APT41 respaldado por China. CVE-2018-0824 fue abordada por primera vez por Microsoft en la actualización del martes de parches de mayo de 2018. Es una falla de ejecución de código remoto (RCE) en Microsoft COM para Windows que resulta de una falla en el manejo adecuado de objetos serializados. Para aprovecharla con éxito, un atacante debe convencer a un usuario final en riesgo de que abra y ejecute un archivo o script especialmente diseñado para realizar acciones, lo que podría lograrse mediante un ataque de phishing o atrayéndolos a un sitio web comprometido. En 2018, Microsoft dijo que la vulnerabilidad no se había divulgado públicamente ni se sabía que se explotara, y el riesgo de que esto sucediera parecía ser relativamente bajo. Sin embargo, el 1 de agosto de 2024, la unidad de investigación de amenazas Talos de Cisco reveló evidencia de una campaña maliciosa de APT41 que aprovechó CVE-2018-0824 en la cadena de ataque. Esta campaña parece haber comenzado a mediados de 2023 y estaba dirigida a un instituto de investigación afiliado al gobierno ubicado en Taiwán, en el que APT41 entregó el malware ShadowPad, Cobalt Strike y otras herramientas personalizadas para la actividad posterior al compromiso. Como parte del ataque, los investigadores también descubrieron que APT41 creó un cargador personalizado para inyectar un malware de prueba de concepto (PoC), denominado UnmarshalPwn, que explota CVE-2018-0824 directamente en la memoria. De esta manera, pudieron elevar de manera efectiva sus privilegios dentro de los sistemas de la víctima. El equipo de Talos, compuesto por Joey Chen, Ashley Shen y Vitor Ventura, dijo que APT41 puede haber utilizado ya la misma cadena de ataque contra otros. “Con los artefactos que encontramos en esta campaña, hicimos un cambio de rumbo y descubrimos algunas muestras e infraestructura que probablemente fueron utilizadas por los mismos actores de amenazas, pero en campañas diferentes”, dijeron. “Aunque no tenemos más visibilidad sobre más detalles sobre estas campañas en este momento, esperamos que al revelar esta información, empodere a la comunidad para conectar los puntos y aprovechar estos conocimientos para investigaciones adicionales”. El catálogo KEV de CISA es un recurso diseñado principalmente para hacer cumplir la aplicación rápida y efectiva de parches en todas las agencias del gobierno federal de los EE. UU., que están legalmente obligadas a implementar su guía dentro de un plazo específico, en este caso antes del 26 de agosto de 2024, dentro de tres semanas. Sin embargo, la adición de una vulnerabilidad explotada a la lista es una señal que todas las organizaciones deben conocer y abordar a la brevedad. Cisco Talos ofrece más información sobre la cadena de ataque y el análisis de las herramientas utilizadas contra la víctima taiwanesa.