Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
23 de Abril, 2015    General

Operación Muñeca Rusa, una nueva campaña de ataques dirigidos

Los laboratorios FireEye han anunciado la detección de una nueva campaña de ataques dirigidos que hacía uso de dos vulnerabilidades 0-day en Adobe Flash y Windows. En esta ocasión el ataque se ha bautizado como Operación Muñeca Rusa ("Operation RussianDoll").

Los investigadores de FireEye detectaron un patrón de ataques que comenzó el 13 de abril. A través de correlacionar indicadores técnicos y las infraestructuras de comando y control todo indica que detrás de este nuevo APT se encuentra el grupo ruso APT28. El objetivo del grupo era encontrar información gubernamental, militar y de organizaciones de seguridad que pudieran beneficiar al gobierno ruso.

Adobe solucionó de forma independiente la vulnerabilidad en Flash (CVE-2015- 3043) a través del boletín APSB15-06. Por otra parte Microsoft fue informada de la vulnerabilidad que se utilizaba en este ataque, una elevación local de privilegios en Windows (con CVE-2015-1701). Se confirma que Microsoft está trabajando en una solución para evitar este fallo. Y aunque todavía no existe un parche disponible para este problema, la actualización de Adobe Flash hace que el exploit que se utilizaba quedara inutilizado.

El exploit funcionaba en varios pasos:
1.  El usuario pulsaba en un enlace a un sitio web controlado por el atacante
2.  Una página HTML/JS lanzaba el exploit Flash
3.  El exploit Flash intenta ejecutar código Shell a través de CVE-2015-3043
4.  El código Shell descarga y ejecuta su payload
5.  El payload explota la elevación local de privilegios (CVE-2015-1701) para obtener el token de System

La página lanzadora en HTML/JS disponía de dos archives Flash en función de la plataforma del usuario atacado (Windows 32 bits o 64bits). Tanto el HTML/JS como el exploit Flash no disponían de ninguna ofuscación (salvo la utilización de nombres de variables en el Flash). Los atacantes se basaron en gran medida en el módulo de Metasploit CVE-2014-0515, que está bien documentado. En vez de usar ROP construye un vtable falsa para un objeto FileReference que se ha modificado para cada llamada a una API de Windows. A continuación el payload explotaba una vulnerabilidad en el kernel de Windows que permitía elevar privilegios si detectaba que se ejecutaba con permisos limitados.

Para el exploit Flash de CVE-2015- 3043, la principal diferencia entre el módulo de Metasploit CVE-2014-0515 y éste nuevo reside en que anteriormente se aprovechaba  una vulnerabilidad en el tratamiento Shader de Flash. Mientras que la nueva vulnerabilidad CVE-2015-3043 aprovecha un fallo en el procesamiento FLV de Flash. El archivo FLV malicioso está incrustado dentro de AS3 en dos "chunks", y se vuelve a montar en tiempo de ejecución. La vulnerabilidad reside en un desbordamiento de búfer en Adobe Flash Player (versiones inferiores a 17.0.0.134) al tratar objetos FLV mal construidos.

Por otra parte el exploit CVE-2015-1701 ejecuta una devolución de llamada en el espacio de usuario. Esto coge estructuras EPROCESS del proceso actual y del proceso System, y copia datos desde el token System en el token del proceso actual. Al finalizar, el payload continúa la ejecución con los privilegios del proceso System. Microsoft está trabajando en una actualización para esta vulnerabilidad, que se ha confirmado que no afecta a Windows 8.

Más información:

Operation RussianDoll: Adobe & Windows Zero-Day Exploits Likely Leveraged by Russia’s APT28 in Highly-Targeted Attack

una-al-dia (15/04/2015) Actualizaciones de seguridad de Adobe para Flash Player, ColdFusion y Flex

Security updates available for Adobe Flash Player



Antonio Ropero
Twitter: @aropero


Palabras claves , , , , , ,
publicado por alonsoclaudio a las 22:32 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Noviembre 2017 Ver mes siguiente
DOLUMAMIJUVISA
1234
567891011
12131415161718
19202122232425
2627282930
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» #Phishing masivo a #BancoFrances, #PagoMisCuentas y #Movistar (110 afectados en 4 horas)
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Vulnerabilidad en Youtube permitió borrar cualquier video
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
29 Comentarios: prudent hackers, global hackers, SOLUTION HACKERS, [...] ...
» Curso en línea "Fundamentos de Administración de Sistemas Linux"
1 Comentario: ruchiroshni
» SoftPerfect WiFi Guard permite saber quién esta conectado a mi WiFi
1 Comentario: carlos lopez
» Analizando el LiveBox 2.1 de Orange
2 Comentarios: Nadie, brahim
» Antenas WiFi de gran potencia. Enlaces a 1.000 Km.
2 Comentarios: julio enoy, julio enoy
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad