miércoles, 27 de mayo de 2015

Vulnerabilidad en Flash Player explotada dos semanas después del parche

Hace dos semanas Adobe publicó uno de sus ya habituales parches para Flash Player. Los investigadores de FireEye han detectado un nuevo ataque que aprovecha una de las vulnerabilidades corregidas por dicha actualización.

El nuevo ataque está incluido dentro del ya conocido kit de exploits conocido como Angler. Está es una conocida herramienta utilizada para lanzar ataques masivos "drive-by-download", en los que principalmente infecta sistemas de forma transparente (sin intervención del usuario) a través de anuncios maliciosos incluidos sitios web legítimos.

En esta ocasión, se ha detectado que la vulnerabilidad con CVE-2015-3090 corregida el pasado 12 de mayo en la actualización de Adobe, ha empezado a explotarse a través de Angler apenas dos semanas después (el 26 de mayo).

No es la primera vez que ocurre esto. Los kits de exploits (particularmente Angler y Nuclear) aprovechan regularmente vulnerabilidades en Flash parcheadas recientemente. Según confirma FireEye, en marzo y abril estos kits también incluyeron una nueva vulnerabilidad descubierta ese mismo mes. Una tendencia que empieza a ser preocupante.

El exploit para CVE-2015-3090 implica una condición de carrera en la clase shader, en el que de forma asíncrona se modifica la anchura o altura de un objeto shader mientras se inicia un ShaderJob, lo que provoca una corrupción de memoria. Angler utiliza esto para ejecutar código arbitrario e infectar los sistemas sin parchear.

Los sistemas con versiones de Flash sin parchear podrán quedar infectados de forma transparente con solo visitar un sitio web que contenga el código malicioso; que puede ser introducido mediante un ataque directo o a través de un anuncio insertado en una red de publicidad. Los investigadores de FireEye han confirmado que el ataque se estaba empleado para instalar el troyano Bedep, involucrado en actividades de fraude por click.

Una vez más se evidencia la necesidad de mantener actualizados los sistemas y así como el software instalado.

Más información:

Angler EK Exploiting Adobe Flash CVE-2015-3090
https://www.fireeye.com/blog/threat-research/2015/05/angler_ek_exploiting.html

una-al-dia (13/05/2015) Actualizaciones de seguridad para Adobe Reader, Acrobat y Flash Player
http://unaaldia.hispasec.com/2015/05/actualizaciones-de-seguridad-para-adobe.html

Security updates available for Adobe Flash Player
https://helpx.adobe.com/security/products/reader/apsb15-09.html

una-al-dia (27/01/2015) Nueva actualización de Adobe Flash Player
http://unaaldia.hispasec.com/2015/01/nueva-actualizacion-de-adobe-flash.html

una-al-dia (06/02/2015) Adobe, más de lo mismo
http://unaaldia.hispasec.com/2015/02/adobe-mas-de-lo-mismo.html


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


1 comentario: