Global Preloader
Vulnerabilidad
(13/Jun/2018) Exploit Kits atacan la más reciente vulnerabilidad Día Cero de Flash

Exploit Kits atacan la más reciente vulnerabilidad Día Cero de Flash

Los Exploit Kits (EK) pueden no ser tan dominantes como lo fueron hace varios años, pero siguen existiendo y la mayoría de ellos ya adoptaron exploits para vulnerabilidades de día cero descubiertas recientemente para Flash e Internet Explorer.

La primera de las fallas con clave CVE-2018-4878, es un error de seguridad en Adobe Flash Player descubierto a fines de enero, cuando fue explotado por un grupo hacker norcoreano en ataques dirigidos contra individuos en Corea del Sur. Adobe lanzó un parche una semana después de que la falla se hiciera pública, pero continuó siendo blanco de muchos otros ataques.

La segunda falla conocida, con clave CVE-2018-8174, es un problema crítico que permite a los atacantes ejecutar de forma remota código arbitrario en todas las versiones compatibles de Windows, y que fue abordada con las actualizaciones de "martes de parches" de mayo de 2018. El error es una actualización de una vulnerabilidad de VBScript de 2 años (CVE-2016-0189) que continúa siendo objeto de abuso en los ataques.

Unos días después de que una prueba de concepto se hiciera pública, RIG adoptó el exploit para la nueva falla del motor VBScript, convirtiéndose en el primer EK en hacerlo. El kit de herramientas también agregó un exploit para dicho error Flash, y se observó entregando payloads como Bunitu, Ursnif y el backdoor SmokeLoader.

Magnitude continúa enfocándose en Corea del Sur y ahora se aprovecha tanto de CVE-2018-4878 como de CVE-2018-8174. El kit de herramientas se considera uno de los EK más sofisticados del mercado, cortesía de su propio filtro Magnigate, una página de inicio codificada en Base64 y payload sin archivos.

El GrandSoft EK, que solo apunta a Internet Explorer y también aparece en campañas de distribución más pequeñas, todavía se basa en el antiguo exploit CVE-2016-0189 de Internet Explorer. Al carecer de la ofuscación de las "páginas de destino" de EK, se observó al kit de herramientas entregando payloads como el stealer AZORult.