Después de su asesoría de seguridad del 5 de abril pasado, Adobe liberó el día de hoy un parche externo para la vulnerabilidad CVE-2016-1019, el cual afecta a Adobe Flash Player. Trend Micro ha observado ataques activos de día cero por parte del Magnitude Exploit Kit que afectan a los usuarios que tienen Flash 20.0.0.306 y versiones anteriores. Estos ataques no son efectivos contra los usuarios de las versiones 21.0.0.182 y 21.0.0.197 de Flash. Esto se debe a una mitigación colectiva que Adobe introdujo en la versión 21.0.0.182 y que también está presente en la versión 21.0.0.197. Los usuarios de estas versiones únicamente experimentarán un cierre de Adobe Flash cuando los ataques traten de explotar la vulnerabilidad.
Se recomienda ampliamente a todos los usuarios actualizar de inmediato sus sistemas con el parche de seguridad más reciente ya que se está explotando activamente. Antes del parche de seguridad de hoy, observamos que el kit de explotación ya estaba integrando a esta vulnerabilidad en su arsenal, que infecta a los sistemas con ransmoware.
De acuerdo con nuestros análisis, CVE-2016-1019 es un tipo de vulnerabilidad de confusión; y si bien la explotación funciona en Flash 20.0.0.306 y en versiones anteriores, sólo provocará una caída y la explotación no correrá en las versiones 21.0.0.182 y 21.0.0.197 de Flash, respectivamente. Adobe introdujo la mitigación colectiva de 21.0.0.182.
Figura 1. Dominios maliciosos que hospedan el Magnitude Exploit Kit
Magnitude integro el ataque de día cero de Adobe Flash; infecta a los sistemas con el ransomware Locky
El 31 de marzo de 2016, vimos que se incluía un ataque de día cero durante este tiempo en el código del Magnitude Exploit Kit a través de la retroalimentación de nuestra Trend Micro™ Smart Protection Network™. Esto lleva entonces al ransomware Locky, un crypto-ransowmare que abusa de los macros de los archivos de documentos para ocultar su código malicioso. Supuestamente este malware fue el que afectó a los sistemas del Hospital Metodista de Kentucky, Estados Unidos.
Figura 2. Distribución mundial del tráfico del Magnitude Exploit Kit (Marzo 31-Abril 6, 2016)
Soluciones de seguridad para los ataques de día cero contra Adobe Flash
Los atacantes que están detrás del kit de explotación Magnitude han sido rápidos en incluir a esta vulnerabilidad en su lista de vulnerabilidades dirigidas. Se sugiere a los usuarios actualizar sus sistemas a la versión más reciente de Adobe Flash Player.
Trend Micro protege a los sistemas de los riesgos de los ataques de día cero con nuestra amplia gama de soluciones. La funcionalidad Browser Exploit Prevention de nuestros productos para endpoints como Trend Micro™ Security, Smart Protection Suites, y Worry-Free Business Security bloquean las explotaciones de navegadores una vez que el usuario tiene acceso a los URLs en que están hospedados éstos.
Nuestro motor Sandbox with Script Analyzer, que es parte de Trend Micro™ Deep Discovery, puede utilizarse para detectar esta amenaza por su comportamiento sin necesidad de actualizar motores o patrones.
Trend Micro Deep Security y Vulnerability Protection defienden a los sistemas de las amenazas que podrían aprovechar estas vulnerabilidades a través de las siguientes reglas de DPI:
- 1007572 – Adobe Flash Player Remote Code Execution Vulnerability (CVE-2016-1019)
Los clientes de TippingPoint estarán protegidos de los ataques que explotan esta vulnerabilidad con el siguiente filtro MainlineDV que estará disponible el 12 de abril:
- 24253: HTTP: Adobe Flash FileReference Type Confusion Vulnerability
Nos gustaría reconocer a kafeine por colaborar con nosotros para proteger a nuestros usuarios.
Información actualizada el 17 de abril de 2016 a las 10:17 PM (UTC-7)
Actualizaremos este blog para revisar el malware distribuido por Magnitude Exploit Kit.
Leave a Reply