Actualización 19/10/2015, 14:26 hs.: Adobe lanzó las correspondientes actualizaciones para corregir estas vulnerabilidades, por lo que se recomienda actualizar Adobe Flash Player tan pronto como sea posible.

Quizás eres uno de los muchos millones de personas que usan Adobe Flash en su computadora. Quizás estás al tanto de los muchos agujeros de seguridad que regularmente se encuentran en Flash y lo actualizaste debidamente esta semana cuando Adobe lanzó múltiples actualizaciones de seguridad, muchas de las cuales fueron categorizadas como críticas.

Quizás piensas que tu computadora está a salvo de atacantes que pudieran explotar fallas en Flash por un tiempo, ya que estás utilizando la última versión (19.0.0.207) del producto. Pero no es así.

Apenas unas horas después de lanzar su conjunto de parches regular, Adobe publicó otro boletín de seguridad advirtiendo sobre una vulnerabilidad crítica que está siendo explotada en forma activa por cibercriminales, para instalar malware en computadoras de sus blancos.

Una vulnerabilidad crítica (CVE-2015-7645) ha sido identificada en Adobe Flash Player 19.0.0.207 y versiones anteriores para Windows, Macintosh y Linux. La explotación exitosa podría causar un colapso y potencialmente permitir a un atacante tomar control del sistema afectado.

Adobe tiene conocimiento de un reporte de que un exploit para esta vulnerabilidad está siendo usado en ataques limitados y dirigidos. Adobe espera poner a disponibilidad una actualización la semana del 19 de octubre.

FlashSe cree que el grupo que está explotando la falla es Pawn Storm, cuyos miembros secretos han estado realizando una sofisticada campaña de malware que tiene como blanco a organizaciones gubernamentales, militares y periodísticas de los Estados Unidos, Ucrania y alrededor de Europa.

La banda típicamente manda correos electrónicos cuidadosamente diseñados a sus víctimas elegidas, con documentos de Word tramposos adjuntos, o atrae a las más desprevenidas para que visiten sitios envenenados con exploit kits que apuntan a navegadores web desactualizados.

Según investigadores de Trend Micro, la última campaña de Pawn Storm tuvo como blanco a varios ministerios de relaciones internacionales, enviando mails apuntando a páginas web que contenían el exploit para Flash. Los correos pretenden ser sobre asuntos de coyuntura; aquí hay algunos ejemplos de asuntos utilizados:

  • "Coche bomba suicida apunta a convoy de la OTAN de tropas de Kabul"
  • "Las tropas sirias hacen ganancias mientras Putin defiende ataques aéreos"
  • "Israel lanza ataques aéreos contra objetivos en Gaza"
  • "Rusia advierte de respuesta a la acumulación nuclear de Estados Unidos en Turquía, Europa"
  • "Militares de EE.UU. reporta que 75 rebeldes entrenados por Estados Unidos regresan a Siria"

Claramente, el grupo Pawn Storm tiene a blancos particulares en la mira, y está enfocado en espiar y robar información de sistemas gubernamentales y militares comprometidos. La banda ha tenido algunos "grandes éxitos" en el pasado, habiendo estado implicada en una brecha de seguridad en la Casa Blanca.

pawnTambién tiene los recursos para dejar al descubierto nuevas vulnerabilidades zero-day; así como esta falla en Flash, por ejemplo, se encontró este año que estaba explotando el primer zero-day en Java que se había descubierto en varios años.

Esto resultó en que muchas personas creyeran que Operation Pawn Storm es un ejemplo de cibercrimen apoyado por el Estado. Pero aunque no trabajes para un gobierno, la milicia, una organización de medios... aunque no seas un activista político que ha causado algo de revuelo... tiene sentido que mantengas tus sistemas protegidos y ejecutando la última versión de todo el software.

Desafortunadamente para los usuarios de computadoras, la vulnerabilidad está presente en la última versión de Adobe Flash Player, 19.0.0.207, así como en las anteriores para Windows y Macintosh. Perdón, amantes de Linux, también está en Flash 11.2.202.535 y anteriores para su plataforma.

Una medida que podrías tomar es considerar desinstalar por completo Flash de tu computadora. Esa es una decisión que muchos están empezando a tomar, pero sospecho que la mayoría no están del todo listos para hacerlo.

Como alternativa, considera habilitar "click to play" en tu navegador.

Click to Play

Con esta función habilitada, tu navegador no reproducirá contenido Flash potencialmente malicioso a menos que y hasta que le des permiso específico. En otras palabras, un archivo Flash con código malicioso no se ejecutará a menos que lo autorices, en vez de reproducirse en forma automática cuando visitas una página web.

Ten en cuenta que Flash también está integrado en Adobe AIR y Shockwave, y por lo tanto ambos pueden ser vulnerables a ataques. En el caso de Shockwave, ya casi no se usa, pero muchas personas todavía lo tienen acechando en sus computadoras. A menos que sepas que lo necesitas, mi recomendación es que lo desinstales.

A pesar de que tu computadora personal y red de trabajo no estén en la lista de objetivos de Pawn Storm, tarde o temprano vas a tener que solucionar el problema con Flash en todos tus equipos.

Un usuario en Twitter resumió la situación en forma adecuada:

Empieza a planear lo que vas a hacer ahora, porque con el constante bombardeo de nuevos exploits para Flash descubiertos, no parece que vaya a haber descanso.