Otra vulnerabilidad de día cero de Adobe Flash descubierta
Los ciberdelincuentes encontraron un nuevo truco para usar Adobe Flash para lanzar ataques maliciosos. Recientemente, los investigadores descubrieron otro día cero[1] falla que ha sido explotada en el Medio Oriente a través de un documento de Microsoft Excel.[2]
Se ha detectado que el documento malicioso se propaga a través de correos electrónicos. Sin embargo, no incluye ningún contenido malicioso en su interior. Sin embargo, cuando un objetivo abre un archivo de Excel, llama al servidor de acceso remoto para descargar contenido malicioso y aprovechar la falla en Adobe Flash. Esta técnica permite evitar la detección de antivirus.
Los investigadores asumen que este ataque se llevó a cabo en Qatar:
Qatar porque el nombre de dominio utilizado por los atacantes era 'people.dohabayt [.] Com', que incluye 'Doha', la capital de Qatar. El dominio también es similar a un sitio web legítimo de contratación de Oriente Medio "bayt [.] Com".[3]
El archivo de Excel malicioso también incluía contenido en árabe. Parece que los principales objetivos podrían ser los trabajadores de la embajada, como embajadores, secretarios y otros diplomáticos. Afortunadamente, se corrigió la falla y se insta a los usuarios a instalar actualizaciones (CVE-2018-5002).
La sofisticada técnica permite explotar la vulnerabilidad de Flash sin ser detectada por un antivirus.
Los principales programas de seguridad pueden identificar fácilmente los archivos adjuntos de correo electrónico maliciosos. Sin embargo, esta vez los atacantes encontraron una forma de eludir la detección porque el archivo en sí no es peligroso.
Esta técnica permite explotar Flash desde un servidor remoto cuando un usuario abre un archivo de Excel comprometido. Por lo tanto, los programas de seguridad no pueden marcar este archivo como peligroso porque en realidad no incluye código malicioso.
Mientras tanto, este archivo solicita un Flash de onda de choque (SWF) malicioso.[4] archivo que se descarga desde el dominio remoto. Este archivo se utiliza para instalar y ejecutar código de shell malicioso que es responsable de cargar el troyano. Según los investigadores, es más probable que este troyano abra la puerta trasera de la máquina afectada.
Además, la comunicación entre un dispositivo objetivo y el servidor de un pirata informático remoto está protegida con una combinación de cifrado AES simétrico y cifrado RSA asimétrico:
“Para descifrar la carga útil de datos, el cliente descifra la clave AES cifrada utilizando su clave privada generada aleatoriamente, luego descifra la carga útil de datos con la clave AES descifrada.
La capa adicional de criptografía de clave pública, con una clave generada aleatoriamente, es crucial aquí. Al usarlo, uno debe recuperar la clave generada aleatoriamente o descifrar el cifrado RSA para analizar las capas posteriores del ataque ”. [Fuente: Icebrg]
Adobe lanzó una actualización para corregir esta falla crítica
Adobe ya lanzó una actualización para Adobe Flash Player para Windows, macOS, Linux y Chrome OS. La vulnerabilidad crítica se detectó en 29.0.0.171 y versiones anteriores del programa. Por lo tanto, se insta a los usuarios a actualizar inmediatamente a la versión 30.0.0.113.
Adobe lanzó CVE-2018-5002[5] parche que emite una advertencia, luego un usuario abre un archivo de Excel ofuscado. El mensaje advierte sobre los peligros potenciales que pueden ocurrir después de cargar el contenido remoto.
La instalación de las actualizaciones es posible a través de los servicios de actualización en el programa o desde el Centro de descarga oficial de Adobe Flash Player. Queremos recordar que las ventanas emergentes, los anuncios o las fuentes de descarga de terceros no son un lugar seguro para instalar actualizaciones.