Blog

Se ha descubierto una nueva vulnerabilidad muy grave en Adobe Flash Player(lo mejor es dejarlo de usar), bautizada CVE-2015-3113, que afecta a Windows, Macintosh y Linux, la cual está siendo explotada activamente en campañas de phishing.

El ataque explota una vulnerabilidad en la manera en que Adobe Flash Player parsea archivos de Flash Video (FLV). El exploit utiliza técnicas comunes de corrupción de vector para evadir ASLR (Address Space Layout Randomization), y utiliza programación orientada a retorno (ROP) para eludir la Prevención de ejecución de datos (DEP).

En el empaquetado del exploit se encuentra un código shell junto con la clave para su desencripción. El payload se encuentra codificado mediante XOR y escondido dentro de una imagen GIF.
La vulnerabilidad de desbordamiento del búfer de pila puede provocar la ejecución de código remoto por parte de un atacante, permitiendo un control total del equipo infectado.

El exploit está siendo distribuido a través de correos genéricos que aparentan ser spam. En el cuerpo de los correos se encuentran enlaces a servidores comprometidos. Cuando la víctima ingresa al enlace, se ejecuta un script (JavaScript) que en caso de detectar una versión vulnerable de Adobe Flash Player, descarga un archivo Adobe Flash SWF malicioso y un archivo FLV, lo cual infecta al equipo de la víctima, brindando un acceso remoto completo al atacante.
Ésta no es la primera vulnerabilidad crítica descubierta en Adobe Flash Player en los últimos meses, las cuales en su mayoría también pueden ser explotadas para comprometer totalmente el equipo de la víctima.
Se ha observado que, inicialmente, la campaña de phishing va dirigida especialmente a organizaciones de los siguientes sectores: Defensa, Construcción e Ingeniería, Tecnología, Telecomunicaciones, etc.
Adobe ha publicado un parche para la vulnerabilidad. Para actualizarlo, se puede visitar: https://get.adobe.com/es/flashplayer/

Además de mantener Adobe Flash Player actualizado, se pueden tomar otras medidas preventivas:

• No abrir nunca archivos adjuntos ni enlaces de correos dudosos, redes sociales, servicios de mensajería u otros. Asegurarse siempre de que la persona que le ha enviado el correo realmente le quería remitir ese adjunto.
• Contar con soluciones de antivirus y mantenerlo actualizado, de modo a prevenir la infección. Si bien en muchos casos se trata de exploits desconocidos, hoy en día la mayoría de las soluciones de seguridad cuentan con mecanismos de protección tempranas.
• Mantener su sistema operativo y el software siempre actualizado, con los últimos parches.
• Evitar la ejecución automática de plugins como Adobe Flash Player, Java, etc. La mayoría de los navegadores modernos permiten configurarlo de modo a que se solicite permiso al usuario cada vez que un sitio web intente ejecutar un plugin. Para ello puede ir a la Configuración o Opciones de su navegador.
• En Google Chrome, escribir "chrome://settings/content/" en la barra de navegación y en la sección "Complementos", seleccionar “Permitirme decidir cuándo ejecutar contenido de plugin
• En Mozilla Firefox, escribir "about:addons" en la barra de navegación y en cada plugin deseado, seleccionar la opción "Preguntar para activar".
• Evitar la ejecución automática de Javascript. Existen complementos como No-Script y ScriptSafe que deshabilitan por defecto la ejecución de Javascript, permitiendo al usuario habilitarlo sólo en las páginas en las que confía.