Ataque zero-day descubierto en el kit de exploit Magnitude dirigido a CVE-2016-1019 en versiones anteriores de Adobe Flash Player

Peter Pi, Brooks Li y Joseph C. Chen

Tras su aviso de seguridad el pasado 5 de abril de 2016, Adobe ha lanzado un parche para la vulnerabilidad CVE-2016-1019, que afecta a Adobe Flash Player. Trend Micro ha observado ataques zero-day activos en el kit de exploit Magnitude que afectan a los usuarios de Flash 20.0.0.306 y versiones anteriores. Estos ataques no son efectivos contra los usuarios de las versiones de Flash 21.0.0.182 y 21.0.0.197. Esto se debe a las medidas de mitigación que Adobe introdujo en la versión 21.0.0.182, y que también están presentes en la versión 21.0.0.197. Los usuarios de estas versiones sólo experimentarán un bloqueo en Adobe Flash cuando los ataques intentan explotar la vulnerabilidad.

Se recomienda a todos los usuarios actualizar sus sistemas de inmediato con la última revisión de seguridad, ya que está siendo activamente explotada. Antes de la revisión de seguridad de hoy, hemos observado que el kit de exploit ya integraba esta vulnerabilidad en su arsenal, lo que deja sistemas infectados con ransomware.

Según nuestro análisis, CVE-2016-1019 es una vulnerabilidad de tipo de vulnerabilidad confusa; y mientras el exploit trabaja sobre Flash 20.0.0.306 y versiones anteriores, sólo estallará y el exploit no se ejecutará en las versiones de Flash 21.0.0.182 y 21.0.0.197, respectivamente. Adobe ha incorporado varias medidas de mitigación desde 21.0.0.182.

Magnitude integrado en el ataque zero-day de Adobe Flash; deja los sistemas infectados con el ransomware Locky

Ya el 31 de marzo de 2016, gracias al feedback nuestra infraestructura Trend Micro™ Smart Protection Network™, detectamos un ataque zero-day que estaba siendo incluido en el código del kit de exploit Magnitude Esto después dirige al ransomware Locky, un crypto-ransomware que abusa de las macros en los archivos de documentos para ocultar su código malicioso. Según los informes, este malware golpeó los sistemas del Hospital Metodista en Kentucky, EE.UU.

 

Soluciones de seguridad contra los ataques zero-day a Adobe Flash

Los atacantes detrás del kit de exploit Magnitude han sido muy rápidos a la hora de incluir este fallo de seguridad en su lista de vulnerabilidades dirigidas. Aconsejamos a los usuarios actualizar sus sistemas a la última versión de Adobe Flash Player.

Trend Micro protege los sistemas de los riesgos planteados por los ataques zero-day a través de nuestra amplia gama de soluciones tecnológicas. La funcionalidad Browser Exploit Prevention en nuestros productos para el endpoint como Trend Micro™ Security, Smart Protection Suites y Worry-Free Business Security bloquea los exploits del navegador una vez que el usuario accede a las URL en las que están alojadas.

Nuestro Sandbox y su motor Script Analyzer, integrado en Trend Micro™ Deep Discovery, puede ser utilizado para detectar esta amenaza por su comportamiento sin necesidad de actualizar el motor o los patrones.

Trend Micro Deep Security y Vulnerability Protection protegen los sistemas contra las amenazas que puedan aprovechar estas vulnerabilidades a través de las siguientes reglas DPI:

  • 1007572 – Adobe Flash Player Remote Code Execution Vulnerability (CVE-2016-1019)

Los clientes de TippingPoint estarán protegidos de los ataques que explotan esta vulnerabilidad con el siguiente filtro MainlineDV que estará disponible el 12 de abril:

  • 24253: HTTP: Adobe Flash FileReference Type Confusion Vulnerability

Queremos agradecer a Kafeine el trabajo realizado con nosotros para proteger a nuestros clientes.

 

 

 

 

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.