Después de que Hacking Team, el polémico proveedor de exploits de día cero, fuera comprometido y de que los datos de la empresa italiana fueran filtrados mediante el protocolo BitTorrent, los investigadores de Kaspersky Lab decidieron seguir una corazonada. El equipo acababa de leer un informe de la conversación entre el vendedor de exploits Vitaliy Toropov y el director ejecutivo de Hacking Team David Vincenzetti.

En su correo electrónico inicial a Hacking Team, Toropov ofreció vender múltiples "vulnerabilidades de día cero con exploits de ejecución remota de código para las últimas versiones de Flash Player, Silverlight, Java y Safari". Sin desperdiciar la oportunidad, Vincenzetti respondió que sí, que quería saber más al respecto. En última instancia, la empresa decidió comprar unicamente el exploit para Flash, por lo que Kaspersky supuso que la vulnerabilidad probablemente estaba siendo explotada.

"Creemos firmemente que descubrir estos exploits e informar a los fabricantes de software afectados de forma gratuita hace que el mundo sea un poco más seguro para todos", escribió la compañía en un blog.

La curiosidad del equipo se despertó por el detallado lanzamiento del exploit de Toropov para Silverlight. Un artículo publicado por Ars Technica dio a los investigadores la idea de que podrían ser capaces de descubrir el código detrás del exploit, utilizando la prueba de concepto de Toropov y sus herramientas internas.

Encontraron su perfil en la base de datos de alertas de seguridad OSVDB y comenzaron a investigar sus otros exploits, que finalmente condujeron al descubrimiento de una vulnerabilidad de Microsoft Silverlight que fue arreglada el martes pasado.

Otras empresas, como Rook Security y Facebook desarrollaron herramientas específicamente diseñadas para detectar malware conocido que se filtró después del suceso de Hacking Team en julio, pero Kaspersky cree que es la primera vez que la información filtrada se utiliza para identificar un exploit previamente desconocido.

Kaspersky señaló que la vulnerabilidad es probablemente el mismo día cero que Toropov trató de vender. "Hay varias cosas que nos hacen pensar que es uno de sus exploits, como las cadenas de error personalizadas", escribió el jefe del equipo de investigación y análisis global, Costin Raiu, y el analista senior de software malicioso, Anton Ivanov. "Por supuesto, no hay manera de estar seguro y puede haber varios exploits de Silverlight allá afuera."