Nueva vulnerabilidad Zero-Day en Adobe Flash oculta en documentos de MS Office

Algunos investigadores encontraron una vulnerabilidad de Adobe que los cyber criminales están explotando, parece que una institución de salud rusa ha sido víctima ya.

La vulnerabilidad, conocida como CVE-2018-15982, es un defecto de uso en Flash Player que, si es bien explotado, permite al atacante ejecutar código arbitrario en la computadora de la víctima y al final dar control del sistema al atacante. 

La vulnerabilidad fue descubierta la semana pasada por unos investigadores gracias a unos documentos maliciosos de Microsoft Office, los cuales venían de una dirección en Ucrania, fueron escaneados por VirusTotal, estos documentos contienen un control Flash Active X dentro de ellos en su encabezado, el cual procesa cuando el usuario lo abre, lo cual provoca la explotación de la vulnerabilidad.

Según los investigadores, el archivo 22.docx ni Flash tienen la carga útil final para tomar control del sistema, en cambio, la carga final se esconde dentro de un archivo imagen llamado scan042.jpg, en verdad es un archivo de archivo, el cual está empaquetado con el doc de MS dentro de un archivo .rar principal, este después se distribuye a través de correos electrónicos de phishing.

Al abrir el documento, la vulnerabilidad de Flash ejecuta un comando para desarchivar la imagen y empezar con el hack, el cual se ha protegido con VMProtect y ha sido programado para instalar una puerta trasera que puede:

Al abrir el documento, el exploit de Flash ejecuta un comando en el sistema para desarchivar el archivo de imagen y ejecutar la carga útil final (es decir, backup.exe) que se ha protegido con VMProtect y se ha programado para instalar una puerta trasera que es capaz de:

  1. Monitorear al usuario (mouse y teclado).
  2. Recolectar información del sistema y mandarla a un server de Command and control (C&C).
  3. Ejecutar shellcode
  4. Cargar memoria PE.
  5. Descargar archivos.
  6. Ejecutar código.
  7. Destruirse a si mismo.

Se cree que todo esto lo están haciendo unos hackers de Ukrania.

La vulnerabilidad ataca las versiones de Adobe Flash 31.0.0.153 y anteriores, incluyendo las de Chrome, Edge, IE y la de escritorio. Actualicen sus sistemas porque esto me da miedo.

Para ver la publicación original da clic aquí.

White Suit Hacking

Somos una empresa de tecnología que se dedica a transmitir conocimiento de seguridad informática, realizar servicios profesionales en el área de seguridad informática y ofrecer servicios de desarrollo de software, ofreciendo la mejor calidad y precios más competitivos del mercado.