Un Zero Day en Adobe Flash, explotado “In the wild”

zero day en adobe flash player

En los primeros días de este mes de febrero, hemos vuelto a conocer una noticia acerca de un problema de seguridad que afecta a los usuarios de Adobe Flash Player.

En esta ocasión, estaríamos hablando de un problema grave al tratarse de un exploit zero day que, al parecer, está siendo utilizado por un grupo de “sofisticados ciberdelincuentes” para tomar el control de las máquinas infectadas.

Vulnerabilidad en Adobe Flash Player

La vulnerabilidad fue descubierta y reportada por investigadores del KR-CERT de Corea del Sur a través de un advisory. En dicha alerta de seguridad advertían de que esta vulnerabilidad, que afecta a todas las versiones de Adobe Flash Player en todas las plataformas, estaba siendo explotada “in the wild”, como suele decirse.

Esto también incluye, por supuesto, la versión actual del reproductor, la 28.0.0.137, en sistemas Windows, Mac OS X, Linux y Chrome OS.

Los responsables de Adobe han asegurado estar al tanto de la existencia de una vulnerabilidad crítica identificada como CVE-2018-4878 que “permitiría potencialmente a un atacante tomar el control del sistema afectado”.

Sin embargo, la compañía ha declarado que este exploit se está utilizando en ataques limitados y dirigidos contra usuarios de Windows, excluyendo al resto de plataformas aunque también estén afectadas por la vulnerabilidad.

Según lo publicado por el KR-CERT, un atacante podría utilizar técnicas de ingeniería social para incitar a usuarios a abrir documentos de Office o sitios web que contengan los archivos Flash que distribuyen el código malicioso. Existen muchas vías para comprometer la seguridad de los usuarios una vez que se disponga del exploit.

Exploit zero day

Según investigadores del grupo Talos de Cisco, en la actualidad el exploit se está distribuyendo mediante un documento de Excel que incluye un objeto Flash malicioso que explota la vulnerabilidad.

LEE  Bluetooth (BLE): la tecnología que quizás no es tan segura como te creías

Una vez que el SWF malicioso es activado, instala ROKRAT, un troyano que miembros de Talos llevan siguiendo desde enero de 2017. Hasta ahora, el grupo detrás de este troyano, acuñado por los investigadores de Talos como “Group 123”, tradicionalmente ha basado sus ataques en el uso de la ingeniería social y el uso de exploits antiguos para vulnerabilidades conocidas que no habían sido parcheadas por sus víctimas.

En esta ocasión, es la primera vez que han utilizado un exploit zero day, según los analistas de Talos.

Group 123 ha puesto el foco principalmente en infectar objetivos localizados en Corea del Sur. Según este post publicado por los investigadores de Talos el pasado mes, los miembros de Group 123 dominan a la perfección el idioma coreano y tienen conocimientos sobre la península coreana.

Talos ha simplemente afirmado que el grupo tiene vinculación con Corea del Norte, pero un investigador de seguridad de Corea del Sur ha ido más allá declarando públicamente a través de Twitter que el exploit zero day para Flash “ha sido realizado por Corea del Norte”.

Cómo solventar la vulnerabilidad de Adobe Flash Player

Adobe ha anunciado que solventará esta vulnerabilidad a través de una publicación planificada para la semana del 5 de febrero. Por lo pronto, desde el KR-CERT de Corea del Sur, responsable del descubrimiento de esta importante vulnerabilidad, se recomienda la eliminación de Flash Player de los equipos hasta disponer de un parche de seguridad.

Recordemos que se trata de un exploit que afecta a todas las versiones de este producto para todas las plataformas disponibles.

LEE  El adiós a Internet explorer de Microsoft

No es la primera vez que vemos vulnerabilidades de gran magnitud en Adobe Flash Player. De hecho, llevamos años viendo cómo se publica información acerca de vulnerabilidades severas que permiten a atacantes controlar directamente los equipos afectados sin que el usuario pueda hacer nada.

Además, todas estas vulnerabilidades, junto con la aparición del HTML5, han generado un debate acerca de la necesidad o sentido para los usuarios de tener Flash hoy en día.

En cualquier caso, lo cierto es que este popular producto a día de hoy está desplegado en millones de equipos en todo el mundo, por lo que el impacto que este Zero Day podría provocar sería de gran envergadura.

Por ello, conviene estar al tanto de las actualizaciones que se puedan publicar desde Adobe, así como seguir las recomendaciones facilitadas por los miembros del KR-CERT de cara a desinstalar momentáneamente Flash de los equipos. Solo así podremos estar protegidos de esta vulnerabilidad hasta que el fabricante publique el parche.

Deepak Daswani, Security Architect. Deloitte, S.L.Deepak Daswani (@dipudaswani)

Ingeniero en Informática. Experto en Ciberseguridad Deloitte CyberSOC Academy. Conferenciante y colaborador de medios de comunicación.

 

Las dos pestañas siguientes cambian el contenido a continuación.
Equipo de profesionales formado esencialmente por profesores y colaboradores con amplia experiencia en las distintas áreas de negocio del mundo empresarial y del mundo académico. IMF Smart Education ofrece una exclusiva oferta de postgrados en tecnología en colaboración con empresa como Deloitte, Indra o EY (masters en Big Data, Ciberseguridad, Sistemas, Deep Learning, IoT) y un máster que permite acceder a la certificación PMP/PMI. Para ello IMF cuenta con acuerdos con universidades como Nebrija, la Universidad de Alcalá y la Universidad Católica de Ávila así como con un selecto grupo de universidades de Latinoamérica.
LEE  Phishing: detección temprana y contramedidas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *