Getty Images Los actores de amenazas llevaron a cabo ataques de día cero dirigidos a usuarios de Windows con malware durante más de un año antes de que Microsoft solucionara la vulnerabilidad que los hizo posibles, dijeron los investigadores el martes. La vulnerabilidad, presente tanto en Windows 10 como en 11, hace que los dispositivos abran Internet Explorer, un navegador heredado que Microsoft desmanteló en 2022 después de que su antigua base de código lo hiciera cada vez más susceptible a los exploits. Después de la medida, Windows dificultó, si no imposibilitó, las acciones normales para abrir el navegador, que se introdujo por primera vez a mediados de la década de 1990. Trucos antiguos y nuevos El código malicioso que explota la vulnerabilidad se remonta al menos a enero de 2023 y estaba circulando tan recientemente como mayo de este año, según los investigadores que descubrieron la vulnerabilidad y la informaron a Microsoft. La compañía solucionó la vulnerabilidad, identificada como CVE-2024-CVE-38112, el martes como parte de su programa mensual de lanzamiento de parches. La vulnerabilidad, que residía en el motor MSHTML de Windows, tenía una calificación de gravedad de 7,0 sobre 10. Los investigadores de la empresa de seguridad Check Point dijeron que el código de ataque ejecutaba «trucos novedosos (o previamente desconocidos) para atraer a los usuarios de Windows para la ejecución remota de código». Un enlace que parecía abrir un archivo PDF añadía una extensión .url al final del archivo, por ejemplo, Books_A0UJKO.pdf.url, que se encontró en una de las muestras de código malicioso. Cuando se veía en Windows, el archivo mostraba un icono que indicaba que el archivo era un PDF en lugar de un archivo .url. Estos archivos están diseñados para abrir una aplicación especificada en un enlace. Ampliar / Captura de pantalla que muestra un archivo llamado Books_A0UJKO.pdf. El icono del archivo indica que es un PDF. Check Point Un enlace en el archivo realizaba una llamada a msedge.exe, un archivo que ejecuta Edge. El enlace, sin embargo, incorporaba dos atributos: mhtml: y !x-usc:, un “viejo truco” que los actores de amenazas han estado usando durante años para hacer que Windows abra aplicaciones como MS Word. También incluía un enlace a un sitio web malicioso. Al hacer clic, el archivo .url disfrazado de PDF abría el sitio, no en Edge, sino en Internet Explorer. “Desde allí (al abrir el sitio web con IE), el atacante podría hacer muchas cosas malas porque IE es inseguro y está desactualizado”, escribió Haifei Li, el investigador de Check Point que descubrió la vulnerabilidad. “Por ejemplo, si el atacante tiene un exploit de día cero de IE, que es mucho más fácil de encontrar en comparación con Chrome/Edge, el atacante podría atacar a la víctima para obtener la ejecución remota de código de inmediato. Sin embargo, en las muestras que analizamos, los actores de amenazas no usaron ningún exploit de ejecución remota de código de IE. En cambio, usaron otro truco en IE, que probablemente no se conocía públicamente anteriormente, hasta donde sabemos, para engañar a la víctima y obtener la ejecución remota de código”. IE presentaría entonces al usuario un cuadro de diálogo preguntándole si quería abrir el archivo haciéndose pasar por un PDF. Si el usuario hacía clic en «abrir», Windows presentaba un segundo cuadro de diálogo que mostraba un aviso vago de que al continuar se abriría el contenido en el dispositivo Windows. Si los usuarios hacían clic en «permitir», IE cargaba un archivo que terminaba en .hta, una extensión que hace que Windows abra el archivo en Internet Explorer y ejecute el código incrustado. Ampliar / Captura de pantalla que muestra la ventana abierta de IE y el cuadro de diálogo generado por IE que pregunta si se debe abrir el archivo Books_A0UJKO.pdf. Check Point Ampliar / Captura de pantalla del cuadro de seguridad de IE que pregunta si el usuario desea «abrir contenido web» utilizando IE. Check Point «Para resumir los ataques desde la perspectiva de la explotación: la primera técnica utilizada en estas campañas es el truco «mhtml», que permite al atacante llamar a IE en lugar del más seguro Chrome/Edge», escribió Li. «La segunda técnica es un truco de IE para hacer creer a la víctima que está abriendo un archivo PDF, mientras que, de hecho, está descargando y ejecutando una aplicación .hta peligrosa. El objetivo general de estos ataques es hacer creer a las víctimas que están abriendo un archivo PDF, y esto se hace posible mediante el uso de estos dos trucos”. La publicación de Check Point incluye hashes criptográficos para seis archivos .url maliciosos utilizados en la campaña. Los usuarios de Windows pueden usar los hashes para verificar si han sido el objetivo.