Adobe advierte que un grupo de ciberespionaje controla un error crítico de Flash

El consenso entre las empresas de no confiar más en Microsoft Enhanced Mitigation Experience Toolkit (EMET) para bloquear exploits de software parece haber sido prematuro: un nuevo caso de ciberespionaje se dirige a una vulnerabilidad crítica en Adobe Flash Player y EMET es efectivo evitando ataques. Adobe ha advertido de una vulnerabilidad crítica en Flash Player (CVE-2.016-4.171) que actualmente está siendo explotado en ataques dirigidos limitados. El fallo se encuentra en la versión más reciente de Flash 21.0.0.242 y versiones anteriores para Windows, MacOS, Linux y Chrome OS. El parche se espera para finales de esta semana como parte del boletín de seguridad mensual. “La explotación exitosa podría causar un accidente y potencialmente permitir a un atacante tomar el control del sistema afectado”, explicó Adobe en su breve aviso de seguridad.

El grupo de nueva amenaza persistente avanzada (APT) ScarCruft ha estado utilizando el Flash de día cero contra víctimas de alto perfil en Rusia, Nepal, Corea del Sur, China, India, Kuwait, y Rumanía desde marzo, aseguraron desde Kaspersky Lab, que descubrió el exploit e informó de la vulnerabilidad a Adobe. El grupo APT ha estado atacando a empresas y organizaciones para obtener información de alto valor y datos como parte de la Operación Amanecer. Kaspersky Lab contuvo detalles de la actual campaña de ScarCruft solucionando la vulnerabilidad, pero recomiendan a las empresas utilizar EMET.  “Confirmamos que Microsoft EMET es eficaz en la mitigación de los ataques”, aseguró Costin Raiu, director del equipo de investigación y análisis global de Kaspersky Lab.

Microsoft lanzó EMET en 2009 para aplicar modernos mecanismos de mitigación de exploits tales como Data Execution Prevention (DEP), Export Address Table Access Filtering (EAF) y Export Address Table Access Filtering Plus (EAF+) en aplicaciones heredadas que no las tuvieran. Mediante el despliegue de EMET en el endpoint, las empresas consiguen que sea más difícil para los atacantes explotar defectos en ciertos programas en esos sistemas. Las empresas se han beneficiado de la implementación de EMET como una línea de defensa para los ataques dirigidos a vulnerabilidades de día cero en Flash, Silverlight y otras tecnologías. Con EMET, las empresas pudieron proteger los endpoints a la espera del parche proporcionado por el proveedor.

A principios de esta semana, los investigadores observaron que exploits de FireEye Silverlight Flash Player eran capaces de evadir a EMET y añadirse al kit de exploit Angler. Esta no es la primera vez los kits de exploit  y malware han evitado con éxito a EMET, pero la alarma estaba relacionada con el hecho de que Angler es ampliamente popular en el submundo del crimen. Angler  se ha detectado en varios ataques basados en la Web, tales como publicidad maliciosa, ransomware, y otras descargas no autorizadas.

Sin embargo, sólo porque Angler  y otros exploits estén agregando desvíos de EMET no significa que las empresas deban abandonar lo. Los kits de exploit son cada vez más sofisticados, pero EMET sigue siendo eficaz contra vulnerabilidades de día cero. Las empresas no deben confiar en EMET exclusivamente para proteger las aplicaciones, pero deben seguir utilizando EMET como parte de un programa de gestión de vulnerabilidades robusta.

Y como siempre, si el sistema no necesita Flash, es mejor eliminarlo. Muchos navegadores están configurados para desactivar Flash Player o hacer clic para utilizarlas. No hay necesidad de tener una aplicación potencialmente vulnerable en un sistema que no la utiliza, por lo que es mejor cerrar las posibles vías de ataque, si es posible.

Ver información original al respecto en Fuente:
http://cso.computerworld.es/alertas/adobe-advierte-que-un-grupo-de-ciberespionaje-controla-un-error-critico-de-flash

Comentario:

Las empresas deberían deshabilitar Flash o activar Microsoft EMET antes hasta llegue el parche prometido por Adobe.