Búsqueda de Ciberamenazas

Chrome corrige el octavo día cero de 2022

Google acaba de parchear el octavo agujero de día cero de Chrome en lo que va de año.

Los días cero son bugs para los que no te puedes actualizar proactivamente porque los ciberdelincuentes no sólo han encontrado el fallo primero, sino que también han descubierto cómo explotarlo con fines maliciosos antes de que exista un parche.

Así que la versión rápida de este artículo es: ve al menú de tres puntos de Chrome (⋮), elige Ayuda > Información de Google Chrome y comprueba que tienes la versión 107.0.5304.121 o posterior.

Descubrir días cero

Hace dos décadas, los días cero solían darse a conocer muy rápidamente, normalmente por una (o ambas) de las dos razones siguientes:

  • Aparecía un virus o gusano que se auto difundía para explotar el fallo. Esto no sólo llamaba la atención sobre la brecha de seguridad y su explotación, sino que también garantizaba la difusión de copias autónomas y funcionales del código malicioso para que los investigadores pudieran analizarlas.
  • Un cazador de errores que no estaba motivado por ganar dinero publicó un código de muestra y se jactó de ello. Paradójicamente, tal vez, esto perjudicó la seguridad al entregar un “regalo” a los ciberdelincuentes para que lo utilizaran en sus ataques de inmediato, y ayudó a la seguridad al atraer a los investigadores y proveedores para que lo arreglaran o idearan una solución rápidamente.

Hoy en día, el juego del día cero es bastante diferente, porque las defensas contemporáneas tienden a hacer que las vulnerabilidades del software sean más difíciles de explotar.

Las capas defensivas actuales incluyen: protecciones adicionales integradas en los propios sistemas operativos, herramientas de desarrollo de software más seguras, lenguajes de programación y estilos de codificación más seguros y herramientas de prevención de ciberamenazas más potentes.

A principios de la década de 2000, por ejemplo (la época de los virus de propagación ultrarrápida como Code Red y SQL Slammer), casi cualquier desbordamiento del búfer de la pila podían pasar de ser vulnerabilidades teóricas a convertirse en exploits en poco tiempo.

En otras palabras, encontrar los exploits y “dejar caer” los días 0 era a veces casi tan sencillo como encontrar el fallo subyacente en primer lugar.

Y con muchos usuarios utilizaban los privilegios de administrador todo el tiempo, tanto en el trabajo como en casa, los atacantes rara vez necesitaban encontrar formas de encadenar los exploits para tomar el control de un ordenador infectado por completo.

Pero en la década de 2020, los exploits de ejecución remota de código viables que un atacante puede utilizar de forma fiable para implantar malware en tu ordenador simplemente atrayéndote a ver una sola página en un sitio web trampa, por ejemplo, son generalmente mucho más difíciles de encontrar, y valen mucho más dinero.

En pocas palabras, los que consiguen exploits de día cero hoy en día tienden a no presumir de ellos.

También tienden a no utilizarlos en ataques que harían obvio el “cómo y el porqué” de la intrusión, o que llevarían a que las muestras de trabajo del código del exploit estuvieran fácilmente disponibles para el análisis y la investigación.

Como resultado, los días cero a menudo se notan hoy en día sólo después de que un equipo de respuesta a amenazas es llamado para investigar un ataque que ya ha tenido éxito, pero donde los métodos de intrusión comunes (por ejemplo, contraseñas suplantadas, parches faltantes o servidores olvidados) no parecen haber sido la causa.

Desbordamiento de búfer expuesto

En este caso, ahora designado oficialmente como CVE-2022-4135, el propio Grupo de Análisis de Amenazas de Google informó del fallo, pero no fue encontrado proactivamente, dado que Google admite que es “consciente de que un exploit […] está siendo activamente utilizado”.

La vulnerabilidad ha recibido una gravedad alta, y se describe simplemente como: desbordamiento del búfer en la GPU.

Los desbordamientos de búfer generalmente significan que el código de una parte de un programa escribe fuera de los bloques de memoria que se le han asignado oficialmente, y pisotea los datos en los que más tarde se basará (y en los que, por tanto, se confiará implícitamente) alguna otra parte del programa.

Como puedes imaginar, hay muchas cosas que pueden salir mal si un desbordamiento de búfer puede ser activado de una manera maliciosa que evite una caída inmediata del programa.

El desbordamiento podría utilizarse, por ejemplo, para envenenar un nombre de archivo que alguna otra parte del programa está a punto de utilizar, haciendo que escriba datos donde no debería; o para alterar el destino de una conexión de red; o incluso para cambiar la ubicación en la memoria desde la que el programa ejecutará código a continuación.

Google no dice explícitamente cómo podría explotarse (o se ha explotado) este fallo, pero es prudente suponer que es posible algún tipo de ejecución remota de código, lo que en gran medida es sinónimo de “implantación subrepticia de malware”, dado que el fallo implica una mala gestión de la memoria.

¿Qué hacer?

Chrome y Chromium se actualizan a la versión 107.0.5304.121 en Mac y Linux, y a la 107.0.5304.121 o 107.0.5304.122 en Windows (no, no sabemos por qué hay dos versiones diferentes), así que asegúrate de que tienes números de versión iguales o más recientes que esos.

Para comprobar tu versión de Chrome, y forzar una actualización si estás atrasado, ve al menú de tres puntos (⋮) y elige Ayuda > Información de Google Chrome.

Microsoft Edge, como probablemente sepas, está basado en el código de Chromium (el núcleo de código abierto de Chrome), pero no ha tenido una actualización oficial desde el día anterior a que los investigadores de amenazas de Google registraran este fallo (y no ha tenido una actualización que enumere explícitamente ninguna corrección de seguridad desde el 10/11/2022).

Por lo tanto, no podemos decirte si Edge está afectado, o si deberías esperar una actualización para este fallo, pero recomendamos estar atentos a las notas de lanzamiento oficiales de Microsoft por si acaso.