Vulnerabilidad en Flash Player explotada dos semanas después del parche

El nuevo ataque está incluido dentro del ya conocido kit de exploits conocido como Angler. Está es una conocida herramienta utilizada para lanzar ataques masivos «drive-by-download», en los que principalmente infecta sistemas de forma transparente (sin intervención del usuario) a través de anuncios maliciosos incluidos sitios web legítimos.

En esta ocasión, se ha detectado que la vulnerabilidad con CVE-2015-3090 corregida el pasado 12 de mayo en la actualización de Adobe, ha empezado a explotarse a través de Angler apenas dos semanas después (el 26 de mayo).

No es la primera vez que ocurre esto. Los kits de exploits (particularmente Angler y Nuclear) aprovechan regularmente vulnerabilidades en Flash parcheadas recientemente. Según confirma FireEye, en marzo y abril estos kits también incluyeron una nueva vulnerabilidad descubierta ese mismo mes. Una tendencia que empieza a ser preocupante.

El exploit para CVE-2015-3090 implica una condición de carrera en la clase shader, en el que de forma asíncrona se modifica la anchura o altura de un objeto shader mientras se inicia un ShaderJob, lo que provoca una corrupción de memoria. Angler utiliza esto para ejecutar código arbitrario e infectar los sistemas sin parchear.

Los sistemas con versiones de Flash sin parchear podrán quedar infectados de forma transparente con solo visitar un sitio web que contenga el código malicioso; que puede ser introducido mediante un ataque directo o a través de un anuncio insertado en una red de publicidad. Los investigadores de FireEye han confirmado que el ataque se estaba empleado para instalar el troyano Bedep, involucrado en actividades de fraude por click.

 

una-al-dia (13/05/2015) Actualizaciones de seguridad para Adobe Reader, Acrobat y Flash Player

una-al-dia (27/01/2015) Nueva actualización de Adobe Flash Player

una-al-dia (06/02/2015) Adobe, más de lo mismo

Antonio Ropero

Twitter: @aropero