Los laboratorios FireEye han anunciado la detección de una nueva campaña de ataques dirigidos que hacía uso de dos vulnerabilidades 0-day en Adobe Flash y Windows. En esta ocasión el ataque se ha bautizado como Operación Muñeca Rusa («Operation RussianDoll«).
Los investigadores de FireEye detectaron un patrón de ataques que comenzó el 13 de abril. A través de correlacionar indicadores técnicos y las infraestructuras de comando y control todo indica que detrás de este nuevo APT se encuentra el grupo ruso APT28. El objetivo del grupo era encontrar información gubernamental, militar y de organizaciones de seguridad que pudieran beneficiar al gobierno ruso.
Adobe solucionó de forma independiente la vulnerabilidad en Flash (CVE-2015- 3043) a través del boletín APSB15-06. Por otra parte Microsoft fue informada de la vulnerabilidad que se utilizaba en este ataque, una elevación local de privilegios en Windows (con CVE-2015-1701). Se confirma que Microsoft está trabajando en una solución para evitar este fallo. Y aunque todavía no existe un parche disponible para este problema, la actualización de Adobe Flash hace que el exploit que se utilizaba quedara inutilizado.
El exploit funcionaba en varios pasos:
1. El usuario pulsaba en un enlace a un sitio web controlado por el atacante
2. Una página HTML/JS lanzaba el exploit Flash
3. El exploit Flash intenta ejecutar código Shell a través de CVE-2015-3043
4. El código Shell descarga y ejecuta su payload
5. El payload explota la elevación local de privilegios (CVE-2015-1701) para obtener el token de System
La página lanzadora en HTML/JS disponía de dos archives Flash en función de la plataforma del usuario atacado (Windows 32 bits o 64bits). Tanto el HTML/JS como el exploit Flash no disponían de ninguna ofuscación (salvo la utilización de nombres de variables en el Flash). Los atacantes se basaron en gran medida en el módulo de Metasploit CVE-2014-0515, que está bien documentado. En vez de usar ROP construye un vtable falsa para un objeto FileReference que se ha modificado para cada llamada a una API de Windows. A continuación el payload explotaba una vulnerabilidad en el kernel de Windows que permitía elevar privilegios si detectaba que se ejecutaba con permisos limitados.
Para el exploit Flash de CVE-2015- 3043, la principal diferencia entre el módulo de Metasploit CVE-2014-0515 y éste nuevo reside en que anteriormente se aprovechaba una vulnerabilidad en el tratamiento Shader de Flash. Mientras que la nueva vulnerabilidad CVE-2015-3043 aprovecha un fallo en el procesamiento FLV de Flash. El archivo FLV malicioso está incrustado dentro de AS3 en dos «chunks«, y se vuelve a montar en tiempo de ejecución. La vulnerabilidad reside en un desbordamiento de búfer en Adobe Flash Player (versiones inferiores a 17.0.0.134) al tratar objetos FLV mal construidos.
Por otra parte el exploit CVE-2015-1701 ejecuta una devolución de llamada en el espacio de usuario. Esto coge estructuras EPROCESS del proceso actual y del proceso System, y copia datos desde el token System en el token del proceso actual. Al finalizar, el payload continúa la ejecución con los privilegios del proceso System. Microsoft está trabajando en una actualización para esta vulnerabilidad, que se ha confirmado que no afecta a Windows 8.
Más información:
Operation RussianDoll: Adobe & Windows Zero-Day Exploits Likely Leveraged by Russia’s APT28 in Highly-Targeted Attack
una-al-dia (15/04/2015) Actualizaciones de seguridad de Adobe para Flash Player, ColdFusion y Flex
Security updates available for Adobe Flash Player
Antonio Ropero
Twitter: @aropero
Que tipos de empresas publicas/privadas afectaria? y de que manera?
Creéis que es conveniente recomendar el bloqueo de las IP(s) en el IPS, firewall o dispositivo de seguridad perimetral?