Houve muita discussão nos últimos dias sobre o ataque bem-sucedido contra o Hacking Team, na Itália, e sobre a divulgação de seus dados como resultado desse ataque.
A coisa mais importante que as pessoas precisam saber é que esse ataque resultou na divulgação pública de outra nova vulnerabilidade afetando o Adobe Flash. Quando a vulnerabilidade foi divulgada não havia um patch disponível para corrigi-la, tornando-a uma vulnerabilidade de dia-zero.
Da noite para o dia, nossos pesquisadores descobriram que os agressores mudaram rapidamente para incluir essa nova vulnerabilidade nos exploit kits usando-a como uma arma. O risco mais grave é que esse ataque será usado para comprometer servidores de anúncios de terceiros, consistente com uma tendência que vimos no primeiro trimestre de 2015.
Os clientes da Trend Micro já estão protegidos contra essa ameaça, de três maneiras:
- Trend Micro™ Deep Security: A Sandbox existente com o mecanismo Script Analyzer pode ser usada para detectar essa ameaça por seu comportamento, sem quaisquer atualizações de mecanismo ou vacina.
- Trend Micro™ Security, Trend Micro™ Smart Protection Suites e Worry-Free Business Security: O recurso de Prevenção de Exploração do Navegador bloqueia o exploit assim que o usuário acessa a URL em que está hospedado. A Prevenção de Exploração do Navegador protege contra exploits que visam navegadores ou plugins relacionados.
- Trend Micro™ Deep Security e Trend Micro OfficeScan: A Proteção de Vulnerabilidades agora fornece proteção contra essa vulnerabilidade com a seguinte regra: 1006824 – Adobe Flash ActionScript3 ByteArray Use After Free Vulnerability
A partir de 8 de julho, a Adobe disponibilizou uma atualização para resolver essa vulnerabilidade, portanto qualquer pessoa que esteja utilizando o Flash deve aplicá-la imediatamente.
Nossos pesquisadores também descobriram evidências indicando que essa vulnerabilidade estava sendo usada em ataques limitados contra pessoas da Coreia e do Japão, ANTES da informação do ataque contra o Hacking Team vir a público no dia 4 de julho. Há alguma indicação possível de que ataques usando essa vulnerabilidade já tenham começado em 22 de junho, apesar de não podermos confirmar. Apesar de não podermos provar com certeza, existem sinais que indicam a possibilidade de que esses ataques iniciais limitados mostrem a origem do roubo de dados do Hacking Team (os ataques têm uma estrutura similar ao código que vazou do Hacking Team).
Se esses primeiros ataques levaram ao Hacking Team ou não, uma mensagem está clara – essa situação ressalta o risco de que “reter” vulnerabilidades ao invés de relatá-las ao fornecedor ou a projetos de desenvolvimento de software para que elas possam ser resolvidas.
Nossos pesquisadores continuam a acompanhar essa situação e irão fornecer atualizações quando tiverem mais informações.