BUG DE FLASH PUEDE FILTRAR CREDENCIALES DE WINDOWS

Adobe parcheado una vulnerabilidad en Flash Player que permite a un atacante utilizar archivos Flash maliciosos y robar credenciales de Windows.

El problema de seguridad se realiza un seguimiento bajo el identificador CVE-2017 hasta 3085 y afecta a las versiones de Flash Player 23.0.0.162 hasta 26.0.0.137, que se ejecuta en Windows XP, Vista, 7, 8.x, y 10.

La vulnerabilidad fue descubierta por el holandés Björn Ruytenberg investigador de seguridad y es una variación de un defecto mayor seguimiento como CVE-2.016-4271, que Adobe parcheado en septiembre el 2016.

En aquel entonces, Ruytenberg descubrió que podía engañar a las víctimas en la carga de un archivo Flash que llama a un servidor SMB remoto que, a su vez, engañar a la computadora del usuario a dar más de sus credenciales.

Adobe ha parcheado este defecto con el lanzamiento de Flash Player 23.0.0.162 mediante la prevención de flash para realizar cualquier conexión de salida a las direcciones URL con UNC (Convención de nomenclatura universal, por ejemplo: \\ 10.0.0.1 \ alguna \ archivo.txt ) o caminos de estilo de archivo ( archivo: /////10.0.0.1/some/file.txt ).

El nuevo fallo descubierto por Ruytenberg se basa en un truco ingenioso para eludir las nuevas medidas de protección de Adobe. El investigador explica en una entrada de blog que un atacante podría cumplir con la prohibición de Adobe en la UNC y URL file-path cargando un archivo Flash que hizo una petición a un servidor remoto a través de HTTP o HTTPS.

En el lado del servidor malicioso, el atacante podría utilizar un clásico redirección HTTP 302 a transmitir esta solicitud entrante a un servidor SMB que utilizaría la misma técnica que antes de recoger los hash NTLM locales (credenciales de usuarios).

El ataque funciona en Chrome y Edge

Ruytenberg dice que el ataque sólo funciona cuando la carga de archivos Flash maliciosos en Office (2010, 2013 y 2016), Firefox o Internet Explorer solamente. Los navegadores como Chrome o Edge no son susceptibles a este ataque.

Por otra parte, el ataque también rompe Flash "a distancia" y "local-con-red", dos configuraciones de seguridad de Flash que debería haber impedido que el atacante exfiltrating datos locales.

"Flash Player 23 minimiza los posibles vectores de ataque al rechazar cualquier solicitud de salida para no HTTP URL", explica Ruytenberg. "Sin embargo, la validación de entrada sólo se hace una vez: mientras que la solicitud HTTP inicial se valida, redirecciones consecutivas no lo son."

La vulnerabilidad puede ser explotada de diferentes maneras

"La complejidad de ataque es muy bajo", dice el investigador Ruytenberg. "Posible del escenario de ataque incluyen:"
  • Visitar un sitio web (posiblemente comprometida) que sirve a la aplicación Flash con la carga maliciosa. Esto incluye dominios de terceros, tales como los de malvertisers.
  • Correo electrónico, compartir archivos de Windows: abrir un archivo HTML local que incorpora la aplicación Flash malicioso. Tenga en cuenta que en este escenario, la aplicación Flash se ejecutaría en el cajón de arena "local-con-red", en oposición a la caja de arena por defecto "a distancia" (pero ambas cajas de arena son vulnerables).
  • Microsoft Office: documentos de Word y Excel permiten la incrustación de código flash. Por lo tanto, el código malicioso podría estar incrustado en un documento de Office, y luego se distribuye a través de la web o de correo electrónico.

La vulnerabilidad recibió una puntuación (CVSS) severidad de 4,3 de 10 , y en una mirada más cercana, que no se ve como algo que se ve en una campaña de publicidad maliciosa.

Por otro lado, el fallo es perfecto para los ataques selectivos dirigidos a empresas o individuos particulares, como se ve en las campañas de ciberespionaje económico o patrocinadas por el Estado.

"Estrictamente tomada, si se explota, la información que se filtró es 'limitado' a las credenciales de usuario de Windows," Ruytenberg dijo a bleepingcomputer. "Sin embargo, estar en posesión de estas credenciales es potencialmente muy perjudicial."

"Por ejemplo, esto permite a un atacante escalar privilegios, e instalar malware (persistente) en la máquina de la víctima", también agregó el experto. "Por lo tanto, la puntuación CVSS puede no ser totalmente representativa de los daños que pueden ser causados ​​en caso de aprovechar esta vulnerabilidad."


Fecha actualización el 2017-8-11. Fecha publicación el . Categoría: Adobe. Autor: Mapa del sitio Fuente: bleepingcomputer
Bug de flash