Kaspersky ha detectado una nueva vulnerabilidad en el navegador Google Chrome conocida como CVE-2019-13720, y que ya ha sido reportada a Google. Tras la revisión del PoC, Google ha confirmado que se trata de una vulnerabilidad de día cero, es decir, desconocida por los desarrolladores hasta ese momento y ha liberado un parche.

Las vulnerabilidades de día cero son errores de software desconocidos que pueden ser explotados por atacantes para infligir daños graves e inesperados. El nuevo ataque se inició en un portal de noticias coreano en el que los atacantes insertaron un código JavaScript malicioso en la página principal que, a su vez, carga un script de creación de perfiles desde un sitio remoto para verificar si el sistema de la víctima podría infectarse al examinar las versiones de las credenciales de usuario del navegador. En este caso, a los ciberdelincuentes les interesa la versión 65 o posterior de Google Chrome para Windows.

Si el sistema operativo y el navegador cumplen con los requisitos, el script descarga el exploit por fragmentos, después los ensambla y los descifra. Lo primero que hace este exploit es comprobar la versión de Chrome. En esta etapa, se vuelve más selectivo y funciona exclusivamente con Chrome 76 o 77, aunque es posible que existan otros exploits para las diferentes versiones del navegador.

Tras encontrar lo que busca, el exploit intenta aprovechar la vulnerabilidad CVE-2019-13720, de tipo use-after-free y que se basa en el uso inapropiado de la memoria del ordenador. Al manipular la memoria, el exploit obtiene permiso para leer y escribir datos en el dispositivo, que usa inmediatamente para descargar, descifrar y ejecutar el malware.

El exploit detectado ha sido utilizado en lo que los expertos de Kaspersky han denominado “Operación WizardOpium“. Ciertas similitudes en el código apuntan a un posible vínculo entre esta campaña y los ataques del grupo Lazarus. Además, el perfil del sitio web objetivo es similar al que se ha encontrado en ataques previos de DarkHotel, que recientemente ha desplegado ataques similares de falsa bandera.

La vulnerabilidad ha sido detectada por la tecnología de Prevención de Exploits de Kaspersky, integrada en la mayoría de los productos de la compañía y lo detecta como PDM: Exploit.Win32.Generic.

“El hallazgo de una nueva vulnerabilidad de día cero en Google Chrome en estado “in the wild” demuestra una vez más lo esencial que es la colaboración entre la comunidad de seguridad y los desarrolladores de software, así como la inversión constante en tecnologías de prevención de exploits para mantenerse a salvo de los ataques repentinos y ocultos de los actores de la amenaza“, explica Anton Ivanov, experto en seguridad de Kaspersky.

Ante estos ataques, Kaspersky recomienda tomar las siguientes medidas de seguridad:

• Instale el parche de Google para la nueva vulnerabilidad lo antes posible.
• Asegúrese de actualizar todo el software utilizado en su organización de forma regular y siempre que se publique un nuevo parche de seguridad. Los productos de seguridad con capacidades de evaluación de vulnerabilidades y gestión de parches incorporadas pueden ayudar a automatizar estos procesos.
• Elija una solución de seguridad probada, como Kaspersky Endpoint Security for Business, que cuente con capacidades de detección basadas en el comportamiento para una protección eficaz contra amenazas conocidas y desconocidas, incluidos los exploits.
• Además de una protección básica de los endpoints, implemente una solución de seguridad corporativa que detecte amenazas avanzadas a nivel de red en una fase temprana, como la plataforma Kaspersky Anti Targeted Attack Platform.
• Asegúrese de que su equipo de seguridad tiene acceso a la información más reciente sobre ciberamenazas. Los informes sobre los últimos desarrollos en el panorama de amenazas están disponibles para los clientes de Kaspersky Intelligence Reporting.
• Por último, pero no por ello menos importante, asegúrese de que su personal cuenta con la formación necesaria para comprender e implementar los principios básicos de higiene de ciberseguridad.

 
Para más detalles sobre el nuevo exploit, lea el informe en Securelist.

Chrome es actualmente el navegador más popular en todos los dispositivos y para el que se optimiza el diseño web. Está en los ordenadores de escritorio, en los portátiles y en los Mac. También en los móviles gracias a la popularidad de Android. A medida que Google continúa dominando el acceso a la web a través de su motor de búsqueda y servicios como Gmail o YouTube, el navegador Chrome es el omnipresente punto de entrada en la vasta caja de herramientas de la compañía

En los primeros días de la empresa y de Chrome, Google defendió los estándares web que funcionaban en el resto de navegadores.

En el presente, se empiezan a oír voces que dicen que sus propios servicios están empezando a ignorar los estándares obligando a los usuarios de sus productos a usar a la fuerza Chrome.

“En realidad Google no está ignorando los estándares webs“, dice Daniel Mardomingo, diseñador Web profesional experto en estos temas. “Incluso es el primero en implementarlos. Sí es cierto que tiene un gran poder a la hora de proponer nuevos estándares, pero también es natural que sea así por el peso que tiene en Internet“, añade.

Sea como sea, cada vez se oyen más quejas no oficiales de desarrolladores de otros navegadores como Firefox y Edge sobre problemas con servicios específicos de la empresa de Mountain View. Por ejemplo, no hace mucho, un desarrollador de Firefox se quejaba del lento desempeño de Youtube en otros navegadores que no fuesen Chrome debido, según este, a que se estaba haciendo uso de una API propia no documentada que les daba ventaja respecto a la competencia.

El mes pasado, un desarrollador de Edge comentaba por Twitter, que Google estaba poniendo un componente invisible que conseguía que el acelerador gráfico de Edge no funcionase dentro de Youtube y por lo tanto, se perdiese rendimiento con este navegador.

Chrome, en otras palabras, está siendo acusado de estar utilizando tácticas similares a las de Internet Explorer 6 en su día y obligando a los diseñadores web a optimizar para Chrome y luego para sus rivales.

Para entender cómo se ha llegado a este punto, se va a ver un poco de historia de los navegadores. Y es que, Internet Explorer 6, fue un dolor de muelas para todos los diseñadores web no hace demasiado tiempo.

El principio de todo
El dominio de Microsoft en el PC con Windows alcanzó su punto máximo hace unos 16 años. Junto con Intel, Microsoft gastó al menos 1.000 millones de dólares en la promoción del lanzamiento de Windows XP con un anuncio de televisión por todo lo alto. Era una época anterior a los smartphones, Gmail o YouTube, y Microsoft ni siquiera tenía la competencia de Google en ese segmento. Microsoft actuó como una compañía que podía hacer lo que quisiese, y vaya que lo hizo. Después de aplastar a Netscape, por entonces su competencia, nació la era de Internet Explorer 6.

Internet Explorer 6 debutó con Windows XP, y estaba estrechamente vinculado a muchas de sus características. A medida que XP crecía en popularidad, también lo hacía la web. IE6 llegó justo cuando la burbuja de las ‘punto com’ estaba llegando a su fin, y el uso de Internet en los EE.UU. estaba creciendo rápidamente. Para muchos, Internet Explorer era la principal forma de acceder a Internet, y el logotipo del navegador de los de Redmond se convirtió en sinónimo de Internet. En su apogeo, Internet Explorer 6 dominaba el 90 por ciento de todo el mercado de navegadores.

Por aquellos tiempos, Microsoft controlaba la forma en que millones de personas accedían a la web, y con Internet Explorer 6 podía dirigir dicho comportamiento. A medida que la web se hacía mucho más popular, estaban surgiendo estándares que ayudarían a los desarrolladores web a construir sitios y aplicaciones que funcionaran en múltiples dispositivos, navegadores y pantallas. Internet Explorer 6 ignoró en gran medida los estándares web de ese momento y puso a Microsoft y a los desarrolladores web en una senda de dolorosas decisiones durante los años siguientes.

Ignorar los estándares web significaba que los desarrolladores web tenían que codificar sus sitios para que funcionasen bien con Internet Explorer específicamente, y por lo tanto, se veían obligados a recomendar a sus clientes y usuarios que sólo accedieran a su sitio a través de este navegador.

Internet Explorer 6 existió durante cinco años donde estuvo ignorando los estándares web y acumulando una serie de fallos de seguridad que ponían en peligro al resto del sistema operativo. Por suerte, empezaron a surgir rivales. En 2004, la Fundación Mozilla, fundada por el antiguo fabricante de navegadores Netscape, lanzó Firefox 1.0. Este nuevo programa introdujo la navegación por pestañas y un bloqueador de ventanas emergentes, y los fans recaudaron dinero para poner un anuncio de página completa en el New York Times. Fue anunciado como el asesino de Internet Explorer, y fue la primera alternativa seria desde Netscape.

Microsoft contraatacó con Internet Explorer 7 en 2006, añadiendo navegación por pestañas y otras características que, en su mayoría, mantuvieron a la gente leal a los valores predeterminados de Windows. IE7 no mejoró lo suficiente el soporte de los estándares web, y las críticas por ignorar los estándares comenzaron a hacerse más fuertes. Incluso el creador de la World Wide Web, Tim Berners-Lee, criticó a la propia Microsoft.

En el momento de la salida al mercado de Firefox, Google estaba creciendo rápidamente en su negocio de búsqueda y publicidad. En lugar de construir su propio navegador, estaba demasiado ocupado creando la barra de herramientas de Google. Curiosamente, fue uno de los primeros grandes proyectos dirigidos por el ahora Director General Sundar Pichai.

La barra de herramientas era un complemento para Internet Explorer y Firefox que añadía un bloqueador de ventanas emergentes y un fácil acceso a las búsquedas de Google. Actuaba como un caballo de Troya para añadir funciones adicionales en los navegadores y dirigir a los usuarios a los servicios de Google. Google lo promocionó fuertemente en sus páginas y motor de búsqueda, y el bloqueador de ventanas emergentes fue particularmente popular entre los usuarios de Internet Explorer 6.

A medida que aumentaba la popularidad de Firefox y se intensificaban las frustraciones con Internet Explorer, Google entró en el mercado en 2008 con su propio navegador Chrome. Google se centró en los estándares web y respetó HTML5 superando las pruebas Acid1 y Acid2 con la primera versión de Chrome, algo en lo que Microsoft había estado fallando gravemente. Los desarrolladores acudieron en masa a Chrome porque les permitió construir mejores sitios web basados en estándares web e inició una guerra de cuota de mercado entre Internet Explorer, Firefox y Chrome.

Aunque Chrome nunca ha logrado capturar el 90 por ciento de la cuota de mercado de la navegación de escritorio como sí hiciese Internet Explorer, ahora es la herramienta dominante con la que la gente accede a Internet. Los desarrolladores webs lo tienen como referencia a la hora de programar y acapara el 60 por ciento de la navegación de escritorio, con Safari, Firefox, IE y Edge muy por detrás, con una cuota de mercado de hasta el 14 por ciento cada uno (dependiendo donde se mire). De cualquier manera, Chrome tiene ahora el tipo de dominio que tenía Internet Explorer, y se está empezando a ver que las propias aplicaciones de Google difieren de la compatibilidad con los estándares web de forma muy parecida a como lo hacía Microsoft hace una década y media.

Funciona mejor(o sólo) con Chrome
Ya sea por culpa de Google o al a menudo lento Consorcio de la World Wide Web (W3C), los resultados han sido particularmente evidentes a lo largo de 2018. Google ha estado en el centro de muchos de los mensajes de ‘Funciona mejor con Chrome’ que está empezando a ver en la web y que apuntan a descargar Chrome en su lugar.

Aun así, Google ha prometido públicamente apoyar a Edge y Firefox para que funcionen correctamente con sus servicios.

El mes pasado calló una bomba en el mundo tecnológico, Microsoft viendo los problemas que estaba teniendo para que los usuarios aceptasen Edge como su navegador por defecto, y ante la ausencia de apoyo de los desarrolladores para la creación de extensiones que le pudiesen dar la potencia y versatilidad de Chrome, decidieron prescindir de su motor de renderizado y migrar a Chromium, el motor de código abierto en el que está basado Chrome.

Desde Mozilla dijeron que era un momento muy triste. Y es que gracias a este movimiento de Microsoft, Mozilla se queda sola con Firefox. Si Google decide saltarse los estándares web, Firefox lo puede pasar muy mal.

¿Qué está pasando realmente?
De las docenas de proyectos web en los que está trabajando Google, sólo una pequeña fracción de ellos requieren Chrome en algún momento de su ciclo de desarrollo, debido principalmente a limitaciones de recursos o tecnología.

Mucho de esto probablemente se deba a los recursos de ingeniería de Google y otras compañías web, más que a una conspiración para aplastar Firefox o Edge. Los empleados de Google utilizan Gmail, Google y Chrome, al igual que la mayoría de sus clientes, por lo que es comprensible que optimicen para Chrome. El equipo de Google Chrome sigue siendo un gran defensor de la web abierta, pero si el resto de Google está optimizando los servicios para Chrome entonces se crea esta situación.

Los propios desarrolladores de Google a menudo crean muchos de los nuevos estándares, son extremadamente activos en el desarrollo de nuevas funciones para la web. Escriben propuestas y las reciben a través del grupo de trabajo sobre normas W3C. Esto a menudo significa que Google es el primero en implementar estos estándares porque la compañía ha estado abogando por ellos. Mezcla esto con muchos desarrolladores que utilizan Chrome para el desarrollo web y los problemas son obvios.

Sin embargo, es difícil imaginar que esta situación mejore. Google se alejó de WebKit y se dirigió hacia su propio motor de renderizado Blink hace años, y ha tenido muchas optimizaciones de bibliotecas de código abierto, frameworks y otras partes del motor que causan errores en otros navegadores. Lo notarás si intentas usar Safari, Firefox o Edge en ciertos sitios en los que los desarrolladores se han centrado inicialmente en Chrome, y es más fácil para el personal de soporte del sitio web simplemente recomendar la descarga de Chrome que reescribir partes de su código. Los desarrolladores también han pasado años optimizando para Chrome, y trabajando en algunas de sus peculiaridades con correcciones o cambios sólo en Chrome.

Descargarse Chrome
Google controla el sitio más popular del mundo, que no es otro que su buscador. Y lo utiliza regularmente para sugerir a todo aquel que entra con otro navegador a que se descargue Chrome. Microsoft ha estado usando tácticas similares para convencer a los usuarios de Windows 10 de que se adhieran a Edge o a que se le de una oportunidad cuando se intenta cambiar a otro navegador como predeterminado.

La parte preocupante para cualquiera que haya invertido en una web abierta es que Google puede estar empezando a ignorar los principios que defendió desde sus inicios. Y eso puede ocasionar que algunos sitios webs dejen de funcionar adecuadamente y haya que contratar a un desarrollador web para que lo arregle. Para que arregle algo que ya funcionaba.

Algunas voces bien conocedoras de esta situación advierten que podría haber más por venir. Sin embargo, hay esperanza. Ayudar a establecer hábitos de diseño web que apoyen el crecimiento de la web abierta sigue siendo uno de los objetivos del equipo de Chrome y de Google en 2019. Al menos así lo afirman desde la propia empresa. Se trata de un enfoque que tanto el equipo de Chrome como el de Google tendrán que alinear estrechamente para evitar los sitios que sólo funcionan bien con Chrome.

Microsoft celebró la muerte de Internet Explorer 6, pero si Google no tiene cuidado entonces se podría resucitar una fea era que se creía haber dejado atrás.