Los laboratorios FireEye han anunciado la detección de una nueva campaña de ataques dirigidos que hacía uso de dos vulnerabilidades 0-day en Adobe Flash y Windows. En esta ocasión el ataque se ha bautizado como Operación Muñeca Rusa ("Operation RussianDoll").
Los investigadores de
FireEye detectaron un patrón de ataques que comenzó el 13 de abril. A través de
correlacionar indicadores técnicos y las infraestructuras de comando y control
todo indica que detrás de este nuevo APT se encuentra el grupo ruso APT28. El
objetivo del grupo era encontrar información gubernamental, militar y de
organizaciones de seguridad que pudieran beneficiar al gobierno ruso.
Adobe solucionó de forma independiente la vulnerabilidad en
Flash (CVE-2015- 3043) a través del boletín APSB15-06. Por otra parte Microsoft
fue informada de la vulnerabilidad que se utilizaba en este ataque, una
elevación local de privilegios en Windows (con CVE-2015-1701). Se confirma que
Microsoft está trabajando en una solución para evitar este fallo. Y aunque
todavía no existe un parche disponible para este problema, la actualización de
Adobe Flash hace que el exploit que se utilizaba quedara inutilizado.
- El exploit funcionaba en varios pasos:
- El usuario pulsaba en un enlace a un sitio web controlado por el atacante
- Una página HTML/JS lanzaba el exploit Flash
- El exploit Flash intenta ejecutar código Shell a través de CVE-2015-3043
- El código Shell descarga y ejecuta su payload
- El payload explota la elevación local de privilegios (CVE-2015-1701) para obtener el token de System
- La página lanzadora en HTML/JS disponía de dos archivos Flash en función de la plataforma del usuario atacado (Windows 32 bits o 64bits). Tanto el HTML/JS como el exploit Flash no disponían de ninguna ofuscación (salvo la utilización de nombres de variables en el Flash). Los atacantes se basaron en gran medida en el módulo de Metasploit CVE-2014-0515, que está bien documentado. En vez de usar ROP construye un vtable falsa para un objeto FileReference que se ha modificado para cada llamada a una API de Windows. A continuación el payload explotaba una vulnerabilidad en el kernel de Windows que permitía elevar privilegios si detectaba que se ejecutaba con permisos limitados.
- Para el exploit Flash de CVE-2015- 3043, la principal diferencia entre el módulo de Metasploit CVE-2014-0515 y éste nuevo reside en que anteriormente se aprovechaba una vulnerabilidad en el tratamiento Shader de Flash. Mientras que la nueva vulnerabilidad CVE-2015-3043 aprovecha un fallo en el procesamiento FLV de Flash. El archivo FLV malicioso está incrustado dentro de AS3 en dos "chunks", y se vuelve a montar en tiempo de ejecución. La vulnerabilidad reside en un desbordamiento de búfer en Adobe Flash Player (versiones inferiores a 17.0.0.134) al tratar objetos FLV mal construidos.
- Por otra parte el exploit CVE-2015-1701 ejecuta una devolución de llamada en el espacio de usuario. Esto coge estructuras EPROCESS del proceso actual y del proceso System, y copia datos desde el token System en el token del proceso actual. Al finalizar, el payload continúa la ejecución con los privilegios del proceso System. Microsoft está trabajando en una actualización para esta vulnerabilidad, que se ha confirmado que no afecta a Windows 8.
- Operation RussianDoll: Adobe & Windows Zero-Day Exploits Likely Leveraged by Russia’s APT28 in Highly-Targeted Attack https://www.fireeye.com/blog/threat-research/2015/04/probable_apt28_useo.html
- Security updates available for Adobe Flash Player https://helpx.adobe.com/security/products/flash-player/apsb15-06.html
