Explotando vulnerabilidades a través de SWF
Otro de los formatos masivamente empleados para explotar las debilidades de los equipos, son los Small Web Format, archivos .swf. Por lo general, suelen ser sometidos a la inyección del código exploit para vulnerar un error en particular.
La misma oleada de archivo de ataques a través de JavaScript maliciosos que había mencionado en el post de vulnerabilidades a través de archivos .js, había sido combinada con otras alternativas como la presente.
En este caso se explota una vulnerabilidad en Adobe Flash Player descripta en CVE-2007-0071 mediante la cual a través de un archivo .swf maliciosamente manipulado se provoca un Buffer Overflow permitiendo la ejecución de código por parte de un atacante remoto.
Esto significa que si el usuario que accede, por ejemplo, a la URL http://www.710sese .cn/a1/ (59.34.197.115) se ejecutará el archivo f16.swf (MD5: 95EC9202FBE74D508205442C49825C08) que según el reporte de VirusTotal, es detectado por 18 antivirus de los 39 por los cuales se scanea la muestra. El exploit inserto en el .swf explotará la vulnerabilidad en caso de tener instalada la aplicación y ser vulnerable.
Algunas de las URLs utilizadas para la diseminación del exploit son las siguientes:
http://www.710sese .cn/a1/f16 .swf
http://www.710sese .cn/a1/f28 .swf
http://www.710sese .cn/a1/f45 .swf
http://www.710sese .cn/a1/f47 .swf
http://www.710sese .cn/a1/f64 .swf
http://www.710sese .cn/a1/f115 .swf
http://www.710sese .cn/a1/i28 .swf
http://www.710sese .cn/a1/i16 .swf
http://www.710sese .cn/a1/i45 .swf
http://www.baomaaa .cn/a279/f16 .swf
http://www.baomaaa .cn/a279/f28 .swf
http://www.baomaaa .cn/a279/f45 .swf
http://www.baomaaa .cn/a279/f47 .swf
http://www.baomaaa .cn/a279/f64 .swf
http://www.baomaaa .cn/a279/f115 .swf
http://www.baomaaa .cn/a279/i28 .swf
http://www.baomaaa .cn/a279/i16 .swf
http://www.baomaaa .cn/a279/i45 .swf
http://000.2011wyt .com/versionff .swf
http://000.2011wyt .com/versionie .swf
http://sss.2010wyt .net/versionie .swf
http://sss.2010wyt .net/versionff .swf
http://www.misss360 .cn/versionff .swf
http://www.misss360 .cn/versionie .swf
http://daoye.sh .cn/a08_1272/m16 .swf
http://daoye.sh .cn/a08_1272/m28 .swf
http://daoye.sh .cn/a08_1272/m45 .swf
http://ccsskkk .cn/new7/fl/f16 .swf
http://ccsskkk .cn/new7/fl/f28 .swf
http://ccsskkk .cn/new7/fl/f45 .swf
http://ccsskkk .cn/new7/fl/f47 .swf
http://ccsskkk .cn/new7/fl/f64 .swf
http://1.ganbobo .com/template/kankan/js/4.0/curtain .swf
http://1.ganbobo .com/template/kankan/js/4.0/playerctrl .swf
Una vez que explota en el equipo, descarga el binario a1.css desde http://d.aidws .com/new, un código malicioso del cual ya hemos hecho mención en otros post.
Información relacionada:
Explotación de vulnerabilidades a través de JS
# pistus Ver más