ESET ha revelado la existencia de dos vulnerabilidades desconocidas en varios productos de Mozilla y en Windows, que actualmente están siendo activamente explotadas por el grupo RomCom, alineado con Rusia, conocido por sus campañas oportunistas contra sectores empresariales específicos y operaciones de espionaje dirigidas.
La primera vulnerabilidad, identificada como CVE-2024-9680, es un error de uso después de liberar que permite a las versiones vulnerables de Firefox, Thunderbird y el navegador Tor ejecutar código en un contexto restringido. Mozilla ya ha lanzado un parche para esta falla el 9 de octubre de 2024. La segunda vulnerabilidad, denominada CVE-2024-49039, es un problema de escalada de privilegios en Windows que permite que el código se ejecute fuera del sandbox de Firefox. Microsoft emitió la corrección correspondiente el 12 de noviembre de 2024.
La combinación de estas dos fallas permite a los atacantes ejecutar código arbitrario en el contexto del usuario autenticado, todo sin interacción del usuario, en lo que se conoce como un exploit de «cero clic». En campañas observadas por ESET, esto ha conducido a la instalación del backdoor homónimo de RomCom en las computadoras de las víctimas. Dicha puerta trasera tiene la capacidad de ejecutar comandos y descargar módulos adicionales en la máquina afectada.
Para más información sobre esta cadena de compromisos y otros detalles relacionados con las vulnerabilidades y los exploits que las utilizan, se puede consultar un video del evangelista de seguridad de ESET, Tony Anscombe, así como una publicación completa en el blog de la empresa.
Fuente: WeLiveSecurity by eSet.
