Cabecera-v2-web.jpg

Vulnerabilidades crí­ticas en Adobe Flash Player (CVE-2015-3113)


Se ha descubierto una nueva vulnerabilidad crí­tica en Adobe Flash Player, bautizada CVE-2015-3113, que afecta a Windows, Macintosh y Linux, la cual está siendo explotada activamente en campañas de phishing.


El ataque explota una vulnerabilidad en la manera en que Adobe Flash Player parsea archivos de Flash Video (FLV). El exploit utiliza técnicas comunes de corrupción de vector para evadir ASLR (Address Space Layout Randomization), y utiliza programación orientada a retorno (ROP) para eludir la Prevención de ejecución de datos (DEP).

12.jpg

En el empaquetado del exploit se encuentra un código shell junto con la clave para su desencripción. El payload se encuentra codificado mediante XOR y escondido dentro de una imagen GIF.
La vulnerabilidad de desbordamiento del búfer de pila puede provocar la ejecución de código remoto por parte de un atacante, permitiendo un control total del equipo infectado.
El exploit está siendo distribuido a través de correos genéricos que aparentan ser spam. En el cuerpo de los correos se encuentran enlaces a servidores comprometidos. Cuando la ví­ctima ingresa al enlace, se ejecuta un script (JavaScript) que en caso de detectar una versión vulnerable de Adobe Flash Player, descarga un archivo Adobe Flash SWF malicioso y un archivo FLV, lo cual infecta al equipo de la ví­ctima, brindando un acceso remoto completo al atacante.
í‰sta no es la primera vulnerabilidad crí­tica descubierta en Adobe Flash Player en los últimos meses, las cuales en su mayorí­a también pueden ser explotadas para comprometer totalmente el equipo de la ví­ctima.
Se ha observado que, inicialmente, la campaña de phishing va dirigida especialmente a organizaciones de los siguientes sectores: Defensa, Construcción e Ingenierí­a, Tecnologí­a, Telecomunicaciones, etc.
Adobe ha publicado un parche para la vulnerabilidad. Para actualizarlo, se puede visitar: https://get.adobe.com/es/flashplayer/


Además de mantener Adobe Flash Player actualizado, se pueden tomar otras medidas preventivas:
  • No abrir nunca archivos adjuntos ni enlaces de correos dudosos, redes sociales, servicios de mensajerí­a u otros. Asegurarse siempre de que la persona que le ha enviado el correo realmente le querí­a remitir ese adjunto.
  • Contar con soluciones de antivirus y mantenerlo actualizado, de modo a prevenir la infección. Si bien en muchos casos se trata de exploits desconocidos, hoy en dí­a la mayorí­a de las soluciones de seguridad cuentan con mecanismos de protección tempranas.
  • Mantener su sistema operativo y el software siempre actualizado, con los últimos parches.
  • Evitar la ejecución automática de plugins como Adobe Flash Player, Java, etc. La mayorí­a de los navegadores modernos permiten configurarlo de modo a que se solicite permiso al usuario cada vez que un sitio web intente ejecutar un plugin. Para ello puede ir a la Configuración o Opciones de su navegador.
    • En Google Chrome, escribir "chrome://settings/content/" en la barra de navegación y en la sección "Complementos", seleccionar "Permitirme decidir cuándo ejecutar contenido de plugins".
    • En Mozilla Firefox, escribir "about:addons" en la barra de navegación y en cada plugin deseado, seleccionar la opción "Preguntar para activar".
  • Evitar la ejecución automática de Javascript. Existen complementos como No-Script y ScriptSafe que deshabilitan por defecto la ejecución de Javascript, permitiendo al usuario habilitarlo sólo en las páginas en las que confí­a.

https://addons.mozilla.org/es/firefox/addon/noscript/

https://chrome.google.com/webstore/detail/scriptsafe/oiigbmnaadbkfbmpbfijlflahbdbdgdf



Para más información, lee nuestro boletí­n: https://cert.gov.py/application/files/1514/3508...

pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11