Los investigadores de seguridad cibernética han descubierto una nueva vulnerabilidad de día cero en Adobe Flash Player que los piratas informáticos están explotando activamente en la naturaleza como parte de una campaña dirigida que parece estar atacando a una institución estatal de salud rusa.
La vulnerabilidad, rastreada como CVE-2018-15982 , es un defecto de uso después de que reside en Flash Player que, si se explota con éxito, permite que un atacante ejecute código arbitrario en la computadora seleccionada y finalmente obtenga el control total sobre el sistema.
La recientemente descubierta vulnerabilidad de Flash Player fue descubierta la semana pasada por investigadores dentro de documentos maliciosos de Microsoft Office, que fueron enviados al servicio en línea de escaneo de malware de múltiples motores VirusTotal desde una dirección IP de Ucrania.
Los documentos de Microsoft Office creados con fines malintencionados contienen un control Flash Active X incorporado en su encabezado que se procesa cuando el usuario seleccionado lo abre, lo que provoca la explotación de la vulnerabilidad de Flash Player informada.
Según los investigadores de ciberseguridad, ni el archivo de Microsoft Office (22.docx) ni el exploit de Flash (en su interior) contienen la carga útil final para tomar el control del sistema.
En su lugar, la carga útil final se esconde dentro de un archivo de imagen (scan042.jpg), que es en sí mismo un archivo de archivo, que se ha empaquetado junto con el archivo de Microsoft Office dentro de un archivo WinRAR principal que luego se distribuye a través de correos electrónicos de spear-phishing, como se muestra en el video a continuación:
Al abrir el documento, el exploit de Flash ejecuta un comando en el sistema para desarchivar el archivo de imagen y ejecutar la carga útil final (es decir, backup.exe) que se ha protegido con VMProtect y se ha programado para instalar una puerta trasera que es capaz de:
- Monitoreando las actividades del usuario (teclado o mueve el mouse).
- recopilar información del sistema y enviarla a un servidor remoto de comando y control (C&C),
- ejecutando shellcode,
- cargando PE en la memoria,
- descargando archivos
- ejecutar código, y
- realizando autodestrucción.
Los investigadores de Gigamon Applied Threat Research y la firma china de seguridad cibernética Qihoo 360 Core Security , quienes vieron y nombraron la campaña de malware como «Operación Agujas de veneno», no han atribuido el ataque a ningún grupo de piratería patrocinado por el estado.
Sin embargo, dado que los documentos malintencionados en cuestión pretenden ser una solicitud de empleo para una clínica de salud estatal rusa que está afiliada a la Administración Presidencial de Rusia y fue cargada en VirusTotal desde un IP ucraniano, los investigadores creen que los atacantes podrían ser de Ucrania, considerando La tensión política entre los dos países.
La vulnerabilidad afecta a las versiones 31.0.0.153 y anteriores de Adobe Flash Player para productos que incluyen Flash Player Desktop Runtime, Flash Player para Google Chrome, Microsoft Edge e Internet Explorer 11. También se ven afectadas las versiones 31.0.0.108 y anteriores de Adobe Flash Player Installer.
Los investigadores reportaron el exploit de día cero de Flash a Adobe el 29 de noviembre, después de lo cual la compañía reconoció el problema y lo liberó.versión actualizada de Adobe Flash Player 32.0.0.101 para Windows, macOS, Linux y Chrome OS; y el instalador de Adobe Flash Player versión 31.0.0.122.
Las actualizaciones de seguridad incluyen un parche para el defecto de día cero reportado, junto con una solución para una vulnerabilidad «importante» de secuestro de DLL (CVE-2018-15983), que podría permitir a los atacantes obtener una escalada de privilegios a través de Flash Player y cargar una DLL maliciosa .
Fuente: