Atacantes explotan una vulnerabilidad de día cero en Flash Player para espiar a investigadores en Corea del Sur

Se ha descubierto una nueva vulnerabilidad en Adobe Flash que los cibercriminales están explotando para atacar a los internautas en Corea del Sur en ataques dirigidos que podrían estar liderados por algún gobierno.

El Equipo de Respuesta a Emergencias Informáticas de Corea del Sur (KR-CERT) ha publicado una alerta sobre la vulnerabilidad que afecta a sus ciudadanos. La falla, registrada como CVE-2018-4878, afecta a la versión ActiveX 28.0.0.137 y anteriores de Adobe Flash Player, es decir, a todas las versiones de Flash Player.

Se trata de una vulnerabilidad “use-after-free”, de referencia inválida a un puntero, que permite la ejecución remota de código en los equipos de los usuarios atacados. Por ahora sólo se han atacado equipos con Windows, pero los sistemas operativos Macintosh, Linux y Chrome también son vulnerables.

“El atacante puede persuadir a los usuarios para que abran documentos de Microsoft Office, páginas web, correos spam, etc., que contienen archivos Flash que distribuyen el código malicioso”, explicó KR CERT. Se cree que en los ataques que están circulando en la actualidad los atacantes integraron un archivo SWF de Flash malicioso en documentos de Microsoft Word.

El KR-CERT afirmó que esta vulnerabilidad se está explotando para lanzar ataques dirigidos a usuarios específicos, lo que le hace creer que podrían ser obra de alguna operación de espionaje gubernamental. “El ataque es limitado y está dirigido a individuos en Corea del Sur que están involucrados en investigaciones sobre Corea del Norte. Creemos que este ataque es parte de una operación gubernamental”, dijo Johannes Ullrich, director del SANS Internet Storm Center.

Asimismo, las sospechas del KR-CERT aumentan con el hecho de que los atacantes hayan pasado por el difícil proceso de descubrir una vulnerabilidad de la que no se tenía registro para que les permita atacar a estas personas en particular. “Otros actores [no vinculados con un gobierno] no habrían tenido tanto interés en usar un exploit para una vulnerabilidad de día cero en un ataque dirigido a este grupo en particular”, dijo Ullrich. Pero a pesar de la intensidad de sus declaraciones, las organizaciones han sido cautelosas para no atribuir los ataques a ningún gobierno en particular: “el culpable no tiene por qué ser Corea del Norte”, aclaró Ullrich.

John Bambenek, de Fidelis Cybersecurity, cree que el trasfondo ideológico de los ataques encaja con los del grupo Lazarus, pero es difícil confirmar si ellos son los responsables sin que se hayan expuesto los detalles técnicos del ataque. Aun así, Bambenek admite que hasta ahora no se ha conocido ningún caso en el que el grupo Lazarus elabore sus propios exploits para vulnerabilidades de día cero.

Adobe tiene planeado publicar una actualización que parche esta vulnerabilidad durante “la semana del 5 de febrero”. Mientras tanto, se recomienda asegurarse de que Flash sólo se ejecute cuando el usuario le pida explícitamente que lo haga en vez de estar activado todo el tiempo. De esta manera, los archivos Flash que se esconden en documentos y sitios web no pueden ejecutarse sin que el usuario lo sepa. La otra alternativa es eliminar Flash por completo si no es una herramienta primordial para las actividades del usuario.

Fuentes
New Adobe Flash Zero-Day Spotted in the Wild Bleeping Computer
Nork hackers exploit Flash bug to pwn South Koreans. And Adobe will deal with it next week The Register
Adobe to Patch Flash Zero-Day Discovered in South Korean Attacks Dark Reading