Investigadores en seguridad de Kaspersky Lab han descubierto una nueva vulnerabilidad zero-day de ejecución de código remoto en Adobe Flash que está siendo explotada por el grupo de amenaza persistente avanzada (APT) BlackOasis.

La ejecución de código en remoto deriva de una vulnerabilidad crítica de confusión de tipo cuyo código es CVE-2017-11292, afectando a Flash Player 21.0.0.226 en los sistemas operativo Linux, macOS y Windows. Los investigadores comentan que BlackOasis también está detrás de la explotación de vulnerabilidad CVE-2017-8759, descubierta el mes pasado.

El grupo de hackers está utilizando la vulnerabilidad CVE-2017-11292 para esparcir FinSpy como carga útil, un spyware que utiliza el mismo servidor de mando y control que la otra vulnerabilidad mencionada en esta entrada. Hasta el momento BlackOasis ha tenido como objetivo prioritario a países como Rusia, Irak, Afganistán, Nigeria, Libia, Jordania, Túnez, Arabia Saudí, Países Bajos, Baréin, Reino Unido y Angola. Otro punto importante que señala el informe de los investigadores es que se trata de al menos la quinta vulnerabilidad zero-day explotada por este grupo.

El exploit es incrustado en documentos de Microsoft Office, sobre todo Word, que es la aplicación más usada de la suite. Estos documentos de Microsoft Office, que son enviados mediante email a las vícitmas, contienen en su interior objetos ActiveX que son los que ejecutan el exploit.

Una vez ejecutado el exploit, se aprovecha la situación para implementar en el ordenador de la víctima FinSpy, una herramienta de vigilancia secreta vinculada a Gamma Group, una empresa británica que vende de forma legal software para espionaje y vigilancia a agencias gubernamentales de todo el mundo.

FinSpy, también conocido como FinFisher, puede hacer un seguimiento en vivo de la víctima mediante la activación de la webcam y el micrófono, grabar las pulsaciones del teclado, interceptar llamadas de Skype y extraer de ficheros.

También puede hacer otras tareas maliciosas como provocar ataques de phishing y de agujero de riego (Watering hole), explotar otros zero-day e incluye un mecanismo de instalación manual con acceso físico a un dispositivo afectado.

Tras ser reportada a Adobe, la compañía desarrolladora de Flash corrigió la vulnerabilidad en las versiones 27.0.0.159 y 27.0.0.130, mientras que Microsoft también está moviendo fichas para corregirla en los componentes de Flash Player utilizados en sus productos.

Fuente: The Hacker News