La ejecución de código en remoto deriva de una vulnerabilidad crítica de confusión de tipo cuyo código es CVE-2017-11292, afectando a Flash Player 21.0.0.226 en los sistemas operativo Linux, macOS y Windows. Los investigadores comentan que BlackOasis también está detrás de la explotación de vulnerabilidad CVE-2017-8759, descubierta el mes pasado.
El exploit es incrustado en documentos de Microsoft Office, sobre todo Word, que es la aplicación más usada de la suite. Estos documentos de Microsoft Office, que son enviados mediante email a las vícitmas, contienen en su interior objetos ActiveX que son los que ejecutan el exploit.
Una vez ejecutado el exploit, se aprovecha la situación para implementar en el ordenador de la víctima FinSpy, una herramienta de vigilancia secreta vinculada a Gamma Group, una empresa británica que vende de forma legal software para espionaje y vigilancia a agencias gubernamentales de todo el mundo.
FinSpy, también conocido como FinFisher, puede hacer un seguimiento en vivo de la víctima mediante la activación de la webcam y el micrófono, grabar las pulsaciones del teclado, interceptar llamadas de Skype y extraer de ficheros.
También puede hacer otras tareas maliciosas como provocar ataques de phishing y de agujero de riego (Watering hole), explotar otros zero-day e incluye un mecanismo de instalación manual con acceso físico a un dispositivo afectado.
Tras ser reportada a Adobe, la compañía desarrolladora de Flash corrigió la vulnerabilidad en las versiones 27.0.0.159 y 27.0.0.130, mientras que Microsoft también está moviendo fichas para corregirla en los componentes de Flash Player utilizados en sus productos.
Fuente: The Hacker News | muyseguridad
