Vulnerabilidad reciente de Flash del dia 0 (cero)
La empresa de seguridad FireEye publicó un informe el 23 de junio sobre los ataques dirigidos aprovechando una de día cero de Flash vulnerabilidad ( CVE-2.015-3113 ) en Adobe Flash hasta la versión 18.0.0.160. La firma indicó que algunos usuarios recibirían un correo electrónico de phishing que contiene un enlace a un sitio que aloja el exploit de día cero.
El anuncio salió casi al mismo tiempo que de Adobe boletín de seguridad y una solución para la falla.
Adobe asociada una calificación de Prioridad 1 de este parche:
Esta actualización resuelve vulnerabilidades en la mira, o que tienen un mayor riesgo de ser blanco, por explotar (s) en la naturaleza para una versión determinado producto y la plataforma. Adobe recomienda a los administradores que instalen la actualización lo antes posible. (Por ejemplo, dentro de las 72 horas).
Ese nivel de gravedad estaba bien justificada como actores de amenaza no perdieron tiempo en el estudio y la incorporación de esta nueva munición en su arsenal. De hecho, sólo cuatro días después del anuncio ( visto por MalwareDontNeedCoffee), la vulnerabilidad ya estaba activo en un conocido exploit kit llamado Magnitud.
Para muchos usuarios esto es así enfriamiento muy corto para poder arreglar su software a su debido tiempo. Sin lugar a dudas, este nuevo exploit va a causar estragos en un gran número de máquinas vulnerables.
Malwarebytes Anti-Exploit usuarios ya estaban protegidos contra esta amenaza, incluso si fueran a última hora del parche:
Magnitud EK utiliza el piquero habitual atrapado SWF, seguido de un FLV archivo malicioso (Flash Video).
Archivo SWF :
<Producto = edición 'Adobe Flex' = '' version = '3.6 ProductInfo' construir '= 16995' compileDate = 'lun 02 de julio 2012 17:52:37 GMT "/>
Archivo FLV (metadatos) :
El archivo Flash Video aprovecha una vulnerabilidad de desbordamiento del búfer de pila en el códec de audio Nellymoser al exceder su longitud máxima. Este error también se utilizó previamente en CVE-2015-3043 (Trend Micro detalla que aquí ).
El plugin es el favorito de un hacker debido a su enorme base de usuarios y fallas de seguridad reutilizables. De hecho, los atacantes tienen la ventaja, ya que pueden refactorizar un exploit para eludir un parche anterior que no aborda completamente una aplicación de codificación insegura o compleja.
Para mantener o no mantener?
Podemos esperar otra exploit kits a hacer lo mismo muy pronto y empezar a entregar esta última vulnerabilidad.Sin lugar a dudas, este es el año de flash de cero días y muchos ya están sugiriendo que tomar medidas drásticas como desinstalar completamente el plugin.
Para aquellos que no estoy seguro acerca de este enfoque de "todo o nada", un buen compromiso se puede llegar al permitir "click-to-play", una característica en todos los navegadores que le da el control para ejecutar el plugin mencionado. Una guía de instrucciones está disponible aquí .
De todos modos, todavía instamos a todos a actualizar el Flash Player tan pronto como sea posible y empleamos una defensa en profundidad a partir de la estrategia contra la explotación de la tecnología para mitigar proactivamente las vulnerabilidades en armas.
Fuente:malwarebytes.org