jueves, 15 de octubre de 2015

Nuevo 0-day en Flash

La campaña de ataques dirigidos Pawn Storm aun sigue activa. Tan activa que, según anuncia Trend Micro, está utilizando un nuevo 0-day en Adobe Flash.

La campaña Pawn Storm dedicada al ciberespionaje lleva ya muchos meses activa. Es conocida por dirigirse contra cargos importantes de organizaciones como la OTAN, el parlamento alemán o la Casa Blanca. También recordamos como en julio esta campaña destacó por emplear un 0-day en Java (algo que no ocurría desde hacía 2 años).

En esta ocasión Trend Micro ha confirmado que la campaña se ha dirigido a varios Ministerios de Asuntos Exteriores de todo el mundo (aunque tampoco se ha concretado los países afectados). El ataque se realizó a través de spear phishing (phishings específicamente dirigidos y construidos para un objetivo concreto) con enlaces que dirigían al exploit.

En este caso los correos de phishing estaban construidos de forma manual, al igual que las direcciones URL. Los mensajes simulaban dirigir a información con temas de actualidad y de interés para el destinatario. Todo con el objeto de engañarle. Algunos de los asuntos de los mensajes eran:
"Un suicida con coche bomba se dirige al convoy de tropas de la OTAN en Kabul"
"Las tropas sirias ganan terreno mientras Putin defiende con ataques aéreos"
"Israel lanza ataques aéreos contra objetivos en Gaza"
"Rusia advierte que responderá a Estados Unidos sobre la acumulación de armas nucleares en Turquía, Europa"
"El ejército de Estados Unidos informa que 75 rebeldes entrenados por Estados Unidos regresan a Siria"
Aunque en este caso parece que los atacantes no han tenido mucha imaginación ya que las direcciones URL donde se alojaba el exploit 0-day son similares a otras ya empleadas en anteriores ataques.

Adobe ha confirmado la existencia de la vulnerabilidad, que ha quedado identificada con el CVE-2015-7645. La compañía está trabajando en el desarrollo de la correspondiente actualización y espera su publicación la semana del 19 de octubre.
Afecta a las versiones Adobe Flash Player 19.0.0.207 (y anteriores) para Windows and Macintosh, Adobe Flash Player 18.0.0.252 y versiones 18.x anteriores (versiones de soporte extendido) y a Adobe Flash Player 11.2.202.535 (y anteriores versiones 11.x) para Linux.

Más información:

New Adobe Flash Zero-Day Used in Pawn Storm Campaign Targeting Foreign Affairs Ministries
http://blog.trendmicro.com/trendlabs-security-intelligence/new-adobe-flash-zero-day-used-in-pawn-storm-campaign/

una-al-dia (15/07/2015) Nuevo 0day en Java
http://unaaldia.hispasec.com/2015/07/nuevo-0day-en-java.html

Security Advisory for Adobe Flash Player
https://helpx.adobe.com/security/products/flash-player/apsa15-05.html



                                                                                                  
Antonio Ropero
antonior@hispasec.com

Twitter: @aropero

2 comentarios:

  1. Nicolas16 de octubre de 2015 a las 12:18

    https://helpx.adobe.com/security/products/flash-player/apsa15-05.html

    Adobe Flash Player 19.0.0.226 listo para descarga aunque aun no figure comunicado oficial:
    http://www.adobe.com/es/products/flashplayer/distribution3.html

    ResponderEliminar
  2. Anónimo16 de octubre de 2015 a las 19:29

    Ya está disponible la actualización para el 0-day.
    https://helpx.adobe.com/security/products/flash-player/apsb15-27.html
    Soluciona 3 vulnerabilidades (CVE-2015-7645, CVE-2015-7647, CVE-2015-7648)

    ResponderEliminar