Los
laboratorios FireEye han anunciado la detección de una nueva campaña de ataques
dirigidos que hacía uso de dos vulnerabilidades 0-day en Adobe Flash y Windows.
En esta ocasión el ataque se ha bautizado como Operación
Muñeca Rusa ("Operation
RussianDoll").
Los investigadores de FireEye
detectaron un patrón de ataques que comenzó el 13 de abril. A través de correlacionar
indicadores técnicos y las infraestructuras de comando y control todo indica
que detrás de este nuevo APT se encuentra el grupo ruso APT28. El objetivo del
grupo era encontrar información gubernamental, militar y de organizaciones de
seguridad que pudieran beneficiar al gobierno ruso.
Adobe
solucionó de forma independiente la vulnerabilidad en Flash (CVE-2015-
3043) a través del boletín APSB15-06.
Por otra parte Microsoft fue informada de la vulnerabilidad que se utilizaba en
este ataque, una elevación local de privilegios en Windows (con CVE-2015-1701).
Se confirma que Microsoft está trabajando en una solución para evitar este
fallo. Y aunque todavía no existe un parche disponible para este problema, la
actualización de Adobe Flash hace que el exploit que se utilizaba quedara inutilizado.
El exploit funcionaba en varios pasos:
1. El usuario pulsaba en un enlace a un
sitio web controlado por el atacante
2. Una página HTML/JS
lanzaba el exploit Flash
3. El exploit Flash intenta ejecutar
código Shell a través de CVE-2015-3043
4. El código Shell descarga
y ejecuta su payload
5. El payload explota
la elevación local de privilegios (CVE-2015-1701) para obtener el token de System
La página lanzadora en HTML/JS
disponía de dos archives Flash en función de la plataforma del usuario atacado (Windows
32 bits o 64bits). Tanto el HTML/JS como el exploit Flash no disponían de
ninguna ofuscación (salvo la utilización de nombres de variables en el Flash). Los
atacantes se basaron en gran medida en el módulo de Metasploit CVE-2014-0515,
que está bien documentado. En vez de usar ROP construye un vtable falsa para un
objeto FileReference que se ha modificado para cada llamada a una API de
Windows. A continuación el payload explotaba una vulnerabilidad en el kernel de
Windows que permitía elevar privilegios si detectaba que se ejecutaba con permisos
limitados.
Para el exploit Flash de CVE-2015-
3043, la principal diferencia entre el módulo de Metasploit CVE-2014-0515 y éste
nuevo reside en que anteriormente se aprovechaba una vulnerabilidad en el tratamiento Shader de
Flash. Mientras que la nueva vulnerabilidad CVE-2015-3043 aprovecha un fallo en
el procesamiento FLV de Flash. El archivo FLV malicioso está incrustado dentro de
AS3 en dos "chunks", y se
vuelve a montar en tiempo de ejecución. La vulnerabilidad reside en un
desbordamiento de búfer en Adobe Flash Player (versiones inferiores a 17.0.0.134)
al tratar objetos FLV mal construidos.
Por otra parte el exploit CVE-2015-1701
ejecuta una devolución de llamada en el espacio de usuario. Esto coge estructuras
EPROCESS del proceso actual y del proceso System, y copia datos desde el token
System en el token del proceso actual. Al finalizar, el payload continúa la
ejecución con los privilegios del proceso System. Microsoft está trabajando en
una actualización para esta vulnerabilidad, que se ha confirmado que no afecta
a Windows 8.
Más información:
Operation
RussianDoll: Adobe & Windows Zero-Day Exploits Likely Leveraged by Russia’s
APT28 in Highly-Targeted Attack
una-al-dia (15/04/2015) Actualizaciones de seguridad de
Adobe para Flash Player, ColdFusion y Flex
Security
updates available for Adobe Flash Player
Antonio Ropero
Twitter: @aropero
