La Secuencia de comandos ActiveX proporciona una forma para utilizar un código personalizado, desarrollado mediante estas secuencias, hasta que puedan ser actualizadas usando sus características más avanzadas, con el objetivo de manejar bases de datos, utilizar en el equipo lenguajes VBScript y JScript, entre otros lenguajes de secuencias de comandos, etc. Sin embargo, cuando están activados se tornan riesgosos, pues en su proceso de actualización al navegar, pueden ser la puerta de entrada para códigos maliciosos como es el caso de esta nota publicada en el sitio web de Segurmática.
Un exploit contra Flash Player está siendo usado para esparcir el spyware FinFisher.
Investigadores en seguridad de Kaspersky Lab han descubierto una nueva vulnerabilidad zero-day de ejecución de código remoto en Adobe Flash que está siendo explotada por el grupo de amenaza persistente avanzada (APT) BlackOasis.
La ejecución de código en remoto deriva de una vulnerabilidad crítica de confusión de tipo cuyo código es CVE-2017-11292, afectando a Flash Player 21.0.0.226 en los sistemas operativo Linux, macOS y Windows. Los investigadores comentan que BlackOasis también está detrás de la explotación de vulnerabilidad CVE-2017-8759, descubierta el mes pasado.
El exploit es incrustado en documentos de Microsoft Office, sobre todo Word, que es la aplicación más usada de la suite. Estos documentos de Microsoft Office, que son enviados mediante email a las vícitmas, contienen en su interior objetos ActiveX que son los que ejecutan el exploit.
Una vez ejecutado el exploit, se aprovecha la situación para implementar en el ordenador de la víctima FinSpy, una herramienta de vigilancia secreta vinculada a Gamma Group, una empresa británica que vende de forma legal software para espionaje y vigilancia a agencias gubernamentales de todo el mundo.
FinSpy, también conocido como FinFisher, puede hacer un seguimiento en vivo de la víctima mediante la activación de la webcam y el micrófono, grabar las pulsaciones del teclado, interceptar llamadas de Skype y extraer de ficheros.
También puede hacer otras tareas maliciosas como provocar ataques de phishing y de agujero de riego (Watering hole), explotar otros zero-day e incluye un mecanismo de instalación manual con acceso físico a un dispositivo afectado.
Tras ser reportada a Adobe, la compañía desarrolladora de Flash corrigió la vulnerabilidad en las versiones 27.0.0.159 y 27.0.0.130, mientras que Microsoft también está moviendo fichas para corregirla en los componentes de Flash Player utilizados en sus productos.
Fuente: The Hacker News
Ante la posibilidad de contaminación por código malicioso al mantener activada la secuencia de comandos ActiveX para su actualización, se proporciona una Guía active_X_guiaexplorer para activar y desactivar esta secuencia de manera tal que se pueda reducir la vulnerabilidad del sistema informático local.