miércoles, 18 de octubre de 2017

Adobe actualiza Flash Player para corregir un 0-day

Adobe ha publicado una nueva actualización para Adobe Flash Player, que soluciona el 0-day anunciado recientemente. Esta vulnerabilidad permite a un atacante tomar el control de los sistemas afectados.





Adobe confirma que una vulnerabilidad de confusión de tipos (con CVE-2017-11292) se está explotando de forma activa en sistemas con Windows 10 (y anteriores) con Flash Player versión 27.0.0.159 y anteriores. Concretamente, esta vulnerabilidad permitiría la ejecución de código arbitrario. A
fecta a las versiones de Adobe Flash Player para Windows, Macintosh, Linux, y los navegadores Chrome, Internet Explorer y Edge. Cada uno de estos productos tiene una nueva versión que parchea esta vulnerabilidad, tal y como se puede observar en el boletín de Adobe.

Lo interesante de esta vulnerabilidad es que se está explotando en este momento por la APT nombrada por Kaspersky como BlackOasis (recordamos que una APT es básicamente un ataque informático avanzado y orquestado contra una entidad importante). De hecho, esta vulnerabilidad está reportada por ellos, tras encontrarse el exploit para esta vulnerabilidad en la investigación de la APT. El objetivo de esta APT es espiar a figuras políticas relacionadas con Oriente Medio (cargos de la ONU, bloggers, activistas políticos...), y para ello infecta a las víctimas con FinSpy, un malware diseñado para ser comprado por agencias gubernamentales y espiar a los objetivos.

Este tipo de amenazas, las APT, suelen contar con exploits 0-day para infectar a las víctimas. En este caso, era un objeto Flash con el exploit cargado usando ActiveX desde un documento de Microsoft Office.



Carlos Ledesma
cledesma@hispasec.com


Más información:

Security updates available for Flash Player | APSB17-32
https://helpx.adobe.com/security/products/flash-player/apsb17-32.html

BlackOasis APT and new targeted attacks leveraging zero-day exploit
https://securelist.com/blackoasis-apt-and-new-targeted-attacks-leveraging-zero-day-exploit/82732/

FinFisher ataca de nuevo, ahora con posible apoyo de ISP's
http://unaaldia.hispasec.com/2017/09/finfisher-ataca-de-nuevo-ahora-con.html