CVE-2017-11292: Nuevo aviso de vulnerabilidad

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

Se ha identificado uno nuevo exploit de día cero en Adobe Flash, usado en un ataque durante el mes de octubre dentro de la campaña conocida como BlackOasis.

El vector inicial de ataque del exploit es vía un documento de Microsoft Word que instala el malware comercial FinSpy.

Analistas privados ha informado sobre esta vulnerabilidad a Adobe, quien emitió un aviso al respecto.

CVE-2017-11292

Según los investigadores, el día cero, CVE-2017-11292, fue detectado en un ataque real, y aconsejan a las empresas y organizaciones gubernamentales instalar de inmediato la actualización de Adobe.

Los investigadores creen que el grupo detrás del ataque también fue responsable de CVE-2017-8759, otro día cero reportado en septiembre, y confían en que el actor de amenazas involucrado sea BlackOasis, el cual el se comenzó a rastrear en 2016.

El análisis revela que, una vez que se explota con éxito la vulnerabilidad, el malwareFinSpy (también conocido como FinFisher) queda instalado en la computadora destino.

FinSpy

FinSpy es un malware comercial que generalmente se vende a Estados-Nación y agencias del orden público para llevar a cabo tareas de vigilancia.

En el pasado, el uso del malware era principalmente doméstico, y las agencias del orden público lo implementaban para la vigilancia de objetivos locales.

BlackOasis es una excepción importante en este sentido: al usarlo contra una variedad de objetivos en todo el mundo.

Esto parece sugerir que FinSpy está alimentando las operaciones de inteligencia global, con un país que lo usa contra otro.

Las compañías que desarrollan software de vigilancia como FinSpy hacen posible esta carrera armamentista.

El malware utilizado en el ataque es la versión más reciente de FinSpy, equipada con múltiples técnicas anti-análisis para dificultar el análisis forense.

Después de la instalación, el malware establece un punto de apoyo en la computadora atacada y se conecta a sus servidores de mando y control ubicados en Suiza, Bulgaria y los Países Bajos, a la espera de más instrucciones y exfiltrar la información.

 

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris