Adobe soluciona vulnerabilidad en Flash aprovechada en ataques dirigidos

De nuevo vemos como se mantiene la tradición de que cada mes aparezca una (o varias) vulnerabilidades graves en Adobe Flash Player, vulnerabilidades que son aprovechadas por los criminales para infectar a los usuarios que aún, y son muchos,  tienen este software instalado. El hecho de que este nuevo agujero de seguridad sea uno más a engrosar la lista de Adobe Flash que hemos visto durante los últimos meses debería replantearnos la necesidad de seguir usando este software.

Alcance de la vulnerabilidad

Como suele suceder en estos casos, esta vulnerabilidad (CVE-2016-4171) es multiplataforma puesto que afecta a  las versión 21.0.0.242 y anteriores que estén instaladas en sistemas operativos Windows, Mac, Linux y Chrome OS. Normalmente, la mayoría de ataques van dirigidos a usuarios de Windows pero nunca está de más actualizar o eliminar Flash Player de nuestro sistema.

El descubrimiento de esta vulnerabilidad fue posible gracias a la investigación realizada por Anton Ivanov y Costin Raiu de Kaspersky, quienes han identificado el uso de esta vulnerabilidad en ataques dirigidos provocados por un grupo conocido como ScarCruft. No es extraño ver como Flash es usada en este tipo de ataques puesto los delincuentes suelen obtener buenos resultados gracias a que muchos usuarios tienen instalado este software aun sin necesitarlo.

Como en anteriores ocasiones, en el caso de que un atacante consiga aprovechar esta vulnerabilidad, podría ocasionar un fallo del sistema y conseguir el control del mismo. A partir de este punto, las posibilidades para los delincuentes son muchas y variadas, desde el robo de información confidencial hasta la instalación de un ransomware.

Para solucionar este grave agujero de seguridad, Adobe publicó ayer 16 de Junio un boletín de seguridad que soluciona esta vulnerabilidad y que recomendamos instalar encarecidamente en el caso de que debamos o queramos seguir usando Flash Player.

Otras vulnerabilidades corregidas

Si bien la vulnerabilidad CVE-2016-4171 ha captado el interés mediático por su utilización en ataques dirigidos, no ha sido el único agujero de seguridad que Adobe ha solucionado en sus productos. Recientemente ha publicado actualizaciones de seguridad para Adobe Digital Negative (DNG) Software Development Kit (SDK) en sistemas Windows y Mac OS.

Si bien esta vulnerabilidad no se encuentra en el nivel de riesgo más elevado según la propia clasificación de Adobe, en caso de ser aprovechada por un atacante podría causar una corrupción de la memoria en el sistema vulnerable.

Otros parches de seguridad publicados solucionan vulnerabilidades en el editor de código open source Adobe Brackets, la versión de Windows de Creative Cloud Desktop Application y varios parches para las versiones 10,11 y la versión 2016 de ColdFusion.

Conclusión

A pesar de haberlo mencionado en repetidas ocasiones anteriores lo volvemos a decir: si el uso de Flash Player no es esencial para nuestro día a día, recomendamos encarecidamente desinstalarlo. Este tipo de vulnerabilidades no son algo puntual y llevamos años viendo como Flash Player es usado continuamente en campañas de propagación de malware.

Tan solo hace falta que tengamos una versión vulnerable de Flash y visitar una web comprometida sin disponer de una solución de seguridad que sea capaz de detectar y bloquear esta amenaza para que los delincuentes consigan infectar nuestro sistema, algo demasiado fácil como para dejarlo pasar.

Josep Albors