Investigadores de ESET han detectado una vulnerabilidad critica en productos de Mozilla, que está siendo explotada activamente por el grupo ruso RomCom, conocido también como Storm-0978. Esta es la segunda ocasión en la que RomCom utiliza una importante vulnerabilidad de día cero en estado salvaje, habiendo sido identificada previamente la explotación de la vulnerabilidad CVE-2023-36884 a través de Microsoft Word en junio de 2023.
La nueva vulnerabilidad, identificada como CVE-2024-9680, cuenta con una puntuación de 9.8 en el sistema CVSS y permite a versiones vulnerables de Firefox, Thunderbird y el navegador Tor ejecutar código en un contexto restringido. Combinada con otra vulnerabilidad en Windows, llamada CVE-2024-49039 y con un puntaje de 8.8, puede permitir la ejecución de código arbitrario en el contexto del usuario conectado. En un ataque exitoso, un adversario que logre que una víctima visite una página web que contenga el exploit puede ejecutar código arbitrario sin necesidad de interacción del usuario, permitiendo la instalación del backdoor del grupo RomCom.
Los análisis del exploit llevaron a descubrir que la vulnerabilidad se origina en un error de uso después de la liberación en la función de cronología de animación de Firefox, que fue parcheada por Mozilla el 9 de octubre de 2024. Además, se revelaron otro tipo de vulnerabilidad en Windows que permite la escalación de privilegios, la cual fue corregida por Microsoft el 12 de noviembre de 2024.
RomCom es un grupo alineado con Rusia que lleva a cabo tanto operaciones de espionaje como campañas de cibercrimen. Sus métodos incluyen campañas contra entidades gubernamentales y sectores específicos de la economía. La explotación de esta vulnerabilidad destaca la sofisticación del grupo y su capacidad para obtener o desarrollar las herramientas necesarias para llevar a cabo ataques sigilosos, reflejando una amenaza significativa tanto desde el punto de vista de la seguridad nacional como del sector empresarial.
La coordinación de la divulgación de vulnerabilidades ha sido crucial en esta situación, lo que permitió a Mozilla lanzar un parche rápidamente, remarcando su capacidad de respuesta ante incidentes de ciberseguridad.
Fuente: WeLiveSecurity by eSet.
