Adobe ha publicado
una nueva actualización para Adobe Flash Player, que soluciona el 0-day
anunciado recientemente. Esta vulnerabilidad permite a un atacante tomar el
control de los sistemas afectados.
Adobe confirma que
una vulnerabilidad de confusión de tipos (con CVE-2017-11292) se está
explotando de forma activa en sistemas con Windows 10 (y anteriores) con Flash
Player versión 27.0.0.159 y anteriores. Concretamente, esta vulnerabilidad
permitiría la ejecución de código arbitrario. Afecta a las versiones de Adobe
Flash Player para Windows, Macintosh, Linux, y los navegadores Chrome, Internet
Explorer y Edge. Cada uno de estos productos tiene una nueva versión que
parchea esta vulnerabilidad, tal y como se puede observar en el boletín de
Adobe.
Lo interesante de
esta vulnerabilidad es que se está explotando en este momento por la APT
nombrada por Kaspersky como BlackOasis (recordamos que una APT es básicamente
un ataque informático avanzado y orquestado contra una entidad importante). De
hecho, esta vulnerabilidad está reportada por ellos, tras encontrarse el
exploit para esta vulnerabilidad en la investigación de la APT. El objetivo de
esta APT es espiar a figuras políticas relacionadas con Oriente Medio (cargos
de la ONU, bloggers, activistas políticos...), y para ello infecta a las
víctimas con FinSpy, un malware diseñado para ser comprado por agencias
gubernamentales y espiar a los objetivos.
Este tipo de
amenazas, las APT, suelen contar con exploits 0-day para infectar a las
víctimas. En este caso, era un objeto Flash con el exploit cargado usando
ActiveX desde un documento de Microsoft Office.
Más información:
- Security updates available for Flash Player |
APSB17-32 https://helpx.adobe.com/security/products/flash-player/apsb17-32.html
- BlackOasis APT and new targeted attacks leveraging
zero-day exploit https://securelist.com/blackoasis-apt-and-new-targeted-attacks-leveraging-zero-day-exploit/82732/
- FinFisher ataca de nuevo, ahora con posible apoyo de
ISP's http://unaaldia.hispasec.com/2017/09/finfisher-ataca-de-nuevo-ahora-con.html
Fuente: Hispasec