Cabecera-v2-web.jpg

Operación Muñeca Rusa, una nueva campaña de ataques dirigidos

Los laboratorios FireEye han anunciado la detección de una nueva campaña de ataques dirigidos que hací­a uso de dos vulnerabilidades 0-day en Adobe Flash y Windows. En esta ocasión el ataque se ha bautizado como Operación Muñeca Rusa ("Operation RussianDoll").

Los investigadores de FireEye detectaron un patrón de ataques que comenzó el 13 de abril. A través de correlacionar indicadores técnicos y las infraestructuras de comando y control todo indica que detrás de este nuevo APT se encuentra el grupo ruso APT28. El objetivo del grupo era encontrar información gubernamental, militar y de organizaciones de seguridad que pudieran beneficiar al gobierno ruso.


Adobe solucionó de forma independiente la vulnerabilidad en Flash (CVE-2015- 3043) a través del boletí­n APSB15-06. Por otra parte Microsoft fue informada de la vulnerabilidad que se utilizaba en este ataque, una elevación local de privilegios en Windows (con CVE-2015-1701). Se confirma que Microsoft está trabajando en una solución para evitar este fallo. Y aunque todaví­a no existe un parche disponible para este problema, la actualización de Adobe Flash hace que el exploit que se utilizaba quedara inutilizado.

El exploit funcionaba en varios pasos:

1. El usuario pulsaba en un enlace a un sitio web controlado por el atacante

2. Una página HTML/JS lanzaba el exploit Flash

3. El exploit Flash intenta ejecutar código Shell a través de CVE-2015-3043

4. El código Shell descarga y ejecuta su payload

5. El payload explota la elevación local de privilegios (CVE-2015-1701) para obtener el token de System


La página lanzadora en HTML/JS disponí­a de dos archives Flash en función de la plataforma del usuario atacado (Windows 32 bits o 64bits). Tanto el HTML/JS como el exploit Flash no disponí­an de ninguna ofuscación (salvo la utilización de nombres de variables en el Flash). Los atacantes se basaron en gran medida en el módulo de Metasploit CVE-2014-0515, que está bien documentado. En vez de usar ROP construye un vtable falsa para un objeto FileReference que se ha modificado para cada llamada a una API de Windows. A continuación el payload explotaba una vulnerabilidad en el kernel de Windows que permití­a elevar privilegios si detectaba que se ejecutaba con permisos limitados.

Para el exploit Flash de CVE-2015- 3043, la principal diferencia entre el módulo de Metasploit CVE-2014-0515 y éste nuevo reside en que anteriormente se aprovechaba una vulnerabilidad en el tratamiento Shader de Flash. Mientras que la nueva vulnerabilidad CVE-2015-3043 aprovecha un fallo en el procesamiento FLV de Flash. El archivo FLV malicioso está incrustado dentro de AS3 en dos "chunks", y se vuelve a montar en tiempo de ejecución. La vulnerabilidad reside en un desbordamiento de búfer en Adobe Flash Player (versiones inferiores a 17.0.0.134) al tratar objetos FLV mal construidos.

Por otra parte el exploit CVE-2015-1701 ejecuta una devolución de llamada en el espacio de usuario. Esto coge estructuras EPROCESS del proceso actual y del proceso System, y copia datos desde el token System en el token del proceso actual. Al finalizar, el payload continúa la ejecución con los privilegios del proceso System. Microsoft está trabajando en una actualización para esta vulnerabilidad, que se ha confirmado que no afecta a Windows 8.



Fuente: hispasec.com
pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11