Los últimos días han estado movidos para el equipo de Adobe, se han descubierto dos vulnerabilidades 0-day en Flash Player, una de ellas solucionada (CVE-2015-0310) con la última versión del complemento pero la otra aún no.
Los ciberdelincuentes ya las están explotando «in the Wild», es decir que ya están aprovechando los fallos para infectar computadoras.
Lo mínimo que debes hacer para proteger tu equipo es actualizar Adobe Flash Player a la última versión disponible, ya sea en Windows, Linux o Mac. Desde aquí puedes verificar rápidamente la versión que tienes instalada y la última versión disponible. En Chrome se actualiza automáticamente, al igual que en Internet Explorer bajo Windows 8, lo ideal es que de todas formas verifiques las versiones y te asegures de tener los navegadores actualizados.
Para mayor protección, a mí me gusta utilizar el complemento NoScript en Firefox y permitir la ejecución de Flash sólo cuando yo lo permito.
En Chrome se puede activar algo parecido desde las opciones de configuración, accediendo a «chrome://settings/content» (sin las comillas) y luego en Complementos marcando la opción «Haz clic para reproducir«:
De esta forma cada vez que una página intenta reproducir un elemento Flash, en lugar de la animación o el video verás una recuadro gris sobre el cual deberás hacer clic si deseas reproducirlo.
Aunque para mayor seguridad, es recomendable activar la opción que le sigue «Bloquear de manera predeterminada» ya que la opción de clic para reproducir es susceptible a ataques de click-jacking y además no funciona si cargas en el navegador directamente el archivo .swf.
Las vulnerabilidades en estos complementos del navegador son peligrosas porque pueden permitir una infección automática o «drive-by download» en la cual un troyano puede colarse en el sistema por el simple hecho de visitar una página infectada o manipulada por los atacantes.
Generalmente utilizan programas llamados «exploit kits» que bombardean la máquina de la víctima en busca vulnerabilidades hasta que una les permite entrar. Lo grave de los 0-day es que son vulnerabilidades que afectan a las últimas versiones de los programas, por lo cual aún manteniendo todo actualizado se está en riesgo hasta que el fabricante detecta el fallo y lanza un parche para solucionarlo.
Los 0-day generalmente son utilizados en ataques dirigidos y no es común que al principio los utilicen en campañas a gran escala. Pero una vez que salen a la luz, comienzan a circular en el mercado negro de exploits y hasta que el fabricante no soluciona la vulnerabilidad, son utilizados de forma masiva y es cuando se vuelven más peligrosos para el común de los usuarios.
Las vulnerabilidades en Flash no son extrañas y de hecho se están volviendo cada vez más comunes, a tal punto que le han quitado el primer puesto a Java como el plugin más vulnerable. Tal como comentan en el blog de Malwarebytes.
Java es uno de esos complementos que si no se utilizan habitualmente, es mejor no tenerlo. Los siguientes dos artículos son claros ejemplos de lo peligroso que puede ser tener instalada una versión de Java desactualizada:
– BlackHat SEO + Java vulnerable = descarga oculta de troyano
– ¿Me pueden infectar de forma oculta por medio de un enlace?
En el primero una simple búsqueda de imágenes en Google termina con la instalación de un troyano y en el segundo muestro en un video como un usuario puede infectar a otro mediante un enlace compartido por chat. En ambos casos el uso de antivirus pueden ayudar a detener los ataques, pero hay formas de evadirlos por lo cual si el usuario no tiene cuidado con lo que hace, tarde o temprano se puede llevar alguna sorpresa.
A continuación dejo nuevamente el video por si les interesa verlo:
Atentos a las actualizaciones de Flash:
Para esta última semana de enero se espera una nueva actualización que solucionaría el 0-day aún activo (ver Adobe PSIRT blog). Así que a estar atentos y verificar aquí si la versión instalada es la última.