En un reciente informe de ciberseguridad, los investigadores de ESET revelaron una campaña coordinada por el grupo RomCom, un actor de amenazas vinculado a Rusia. Este grupo ha aprovechado vulnerabilidades de día cero en Mozilla Firefox y Microsoft Windows, permitiendo la ejecución de código malicioso sin interacción del usuario.
Detalles de las vulnerabilidades
- CVE-2024-9680 (CVSS: 9.8):
Una vulnerabilidad use-after-free en la función de animación de Firefox. Este fallo permite que versiones vulnerables de Firefox, Thunderbird y el navegador Tor ejecuten código en el contexto restringido del navegador. Mozilla solucionó la vulnerabilidad en un tiempo récord de 25 horas tras recibir el informe, el 9 de octubre de 2024. - CVE-2024-49039 (CVSS: 8.8):
Un fallo de escalamiento de privilegios en el servicio Task Scheduler de Windows. Este exploit permitió a RomCom evadir la caja de arena de Firefox y escalar privilegios. Microsoft publicó un parche correctivo el 12 de noviembre de 2024.
Impacto y metodología del ataque
El uso combinado de estas vulnerabilidades permitió ataques de tipo zero-click, donde solo era necesario que la víctima visitara una página web maliciosa para que el ataque tuviera éxito. Esto resultó en la instalación del backdoor RomCom en las computadoras de las víctimas, afectando principalmente a usuarios en Europa y América del Norte.
Productos afectados y soluciones
| CVE | Productos afectados | Versiones afectadas | Solución |
| CVE-2024-9680 | Firefox | Firefox versiones anteriores a 131.0.2 | Actualizar a la última versión disponible. |
| Firefox ESR | Firefox ESR versiones anteriores a 115.16.0. | ||
| Firefox ESR | Firefox ESR desde 128.0.1 hasta 128.3.0 | ||
| Tor Browser | 13.5.7 | ||
| Tails | 6.8.1 | ||
| Thunderbird | Thunderbird versiones anteriores a 115.16.0. | ||
| Thunderbird | Thunderbird desde 128.0.1 hasta 128.3.0 | ||
| Thunderbird | Thunderbird versiones anteriores a 131.0.2 | ||
| CVE-2024-49039 | Microsoft Windows 10: | Versión 1507: hasta la 10.0.10240.20826 (excluida) (x64 y x86). | Actualizar a la última versión disponible. |
| Versión 1607: hasta la 10.0.14393.7515 (excluida) (x64). | |||
| Versión 1809: hasta la 10.0.17763.6532 (excluida) (x64 y x86). | |||
| Versión 21H2: hasta la 10.0.19044.5131 (excluida) (arm64, x64, y x86). | |||
| Versión 22H2: hasta la 10.0.19045.5131 (excluida) (arm64, x64, y x86). | |||
| Microsoft Windows 11: | Versión 22H2: hasta la 10.0.22621.4460 (excluida) (arm64 y x64). | ||
| Versión 23H2: hasta la 10.0.22631.4460 (excluida) (arm64 y x64). | |||
| Versión 24H2: hasta la 10.0.26100.2314 (excluida) (arm64 y x64). | |||
| Microsoft Windows Server: | Windows Server 2016: hasta la 10.0.14393.7515 (excluida). | ||
| Windows Server 2019: hasta la 10.0.17763.6532 (excluida). | |||
| Windows Server 2022: hasta la 10.0.20348.2849 (excluida). | |||
| Windows Server 2022 23H2: hasta la en 10.0.25398.1251 (excluida). | |||
| Windows Server 2025: hasta la 10.0.26100.2314 (excluida). |
Recomendaciones
- Actualizar sistemas afectados:
- Instalar las versiones más recientes de Firefox, Thunderbird, Tor Browser y Windows.
- Implementar controles adicionales de seguridad:
- Limitar el acceso a interfaces críticas del sistema, como el servicio Task Scheduler.
- Monitorear tráfico web:
- Identificar y bloquear dominios maliciosos relacionados con esta campaña.