Problema de seguridad con Flash player de Adobe (APSB16-10, CVE-2016-1019 Exploit)

Los datos publicados por el boletín de seguridad de adobe muestran los siguientes datos:

Release date: April 7, 2016
Vulnerability identifier: APSB16-10

Que hace esta vulnerabilidad, pues lo de siempre realiza un ataque puede permitir a un individuo ejecutar comandos de forma remota en tu ordenador, vamos te mete un troyano. Lo que hace es realizar una overflow de la memoria y inyecta un exploit para poder ejecutar comandos. Esto se podría mitigar si nuestro sistemas de antivirus tuviera un control de desbordamiento de buffer de la memoria.

Priority: See table below
CVE number: CVE-2016-1006, CVE-2016-1011, CVE-2016-1012, CVE-2016-1013, CVE-2016-1014, CVE-2016-1015, CVE-2016-1016, CVE-2016-1017, CVE-2016-1018, CVE-2016-1019, CVE-2016-1020, CVE-2016-1021, CVE-2016-1022, CVE-2016-1023, CVE-2016-1024, CVE-2016-1025, CVE-2016-1026, CVE-2016-1027, CVE-2016-1028, CVE-2016-1029, CVE-2016-1030, CVE-2016-1031, CVE-2016-1032, CVE-2016-1033

Platform: Windows, Macintosh, Linux and ChromeOS

Aplicaciones afectadas:

Affected Versions

Product	Affected Versions	Platform
Adobe Flash Player Desktop Runtime	21.0.0.197 and earlier	Windows and Macintosh
Adobe Flash Player Extended Support Release	18.0.0.333 and earlier	Windows and Macintosh
Adobe Flash Player for Google Chrome	21.0.0.197 and earlier	Windows, Macintosh, Linux and ChromeOS
Adobe Flash Player for Microsoft Edge and Internet Explorer 11	21.0.0.197 and earlier	Windows 10
Adobe Flash Player for Internet Explorer 11	21.0.0.197 and earlier	Windows 8.1
Adobe Flash Player for Linux	11.2.202.577 and earlier	Linux

Comprobar la versión que tenemos instalada en nuestro ordenador:

Web de comprobación de versión de flash. Aquí

En esta web nos puede ayudar a determinar si estamos afectados por esta vulnerabilidad o no

Los 3 casos que se pueden presentar son:

1- No tener instalado el Adobe Flash Player. Por ejemplo tengo firefox y no tengo instalado este complemento.

2- Tener instalado la última versión.

3- Tener que actualizar la versión.

 

Ya sabéis si estáis afectados tenéis que actualizar a la última versión o desactivar el flash de vuestro navegador. En mi opinion desactivaria el flash de nuestro navegador o navegadores que estén afectados.

Desactivar Flash player en los navegadores más comunes: ( os copio un fragmento de este articulo LINK)

Internet Explorer versions 10 and 11

1. Open Internet Explorer
2. Click on the Tools menu, and then click Manage add-ons
3. Under “Show”, select All add-ons
4. Select Shockwave Flash Object and then click on the Disable button

Firefox

1. Open Firefox
2. Open the browser menu and click Add-ons
3. Select the Plugins tab
4. Select Shockwave Flash and click Disable

Chrome

1. Open Chrome
2. Enter chrome://plugins/ in the address bar and hit the Enter key
3. Click the Disable link under the Adobe Flash Player plugin

Analisis de virustotal:

Virustotal

Por cierto la version a la que teneis que actualizar es:

Flash Player 21.0.0.182 si es curioso verdad que una version anterior no sea vulnerable.

Saludos

Israel Muñoz Ruiz

Correlación Automática en Palo Alto

Motor de Correlación Automática

El motor de correlación automatizada es una herramienta de análisis que utiliza los logs de seguridad para detectar eventos. El motor correlaciona una serie de eventos de amenaza relacionados que, al combinarse, indican un host comprometido en la red. Se identifica áreas de riesgo, tales como hosts de la red comprometida, le permite evaluar el riesgo, para luego tomar medidas para prevenir la explotación de recursos de red. El motor de correlación automatizada utiliza objetos de correlación para analizar los registros de patrones y cuando se produce una coincidencia, se genera una evento correlado.

La plataformas que lo soportan:

1. -          Panorama—M-Series appliance y appliance virtual
2. -          PA-7000 Series firewall
3. -          PA-5000 Series firewall
4. -          PA-3000 Series firewall

Concepto De La Maquina de Auto Correlación

El motor de correlación automatizada utiliza objetos de correlación para analizar los registros de patrones y cuando se produce una coincidencia, se genera una evento correlacionado.

Objetos de Correlación

Un objeto de correlación, es un fichero con definiciones que especifica patrones de comportamiento para que coincidan contra los datos de las fuentes de datos. Un patrón es una estructura booleana que mira y lanza una query a los origines de datos buscando alguna coincidencia, estas fuentes de datos son: estadísticas de aplicaciones, trafico, etc. ..

Cada patrón tiene su clasificación de gravedad y un umbral del número de veces que se repite y coinciden con el patrón establecido para indicar que es una acción maliciosa. Cuando se cumplen las condiciones se genera un evento correlado y queda registrado (loggeado). 

Un objeto de correlación puede detectar un evento de red aislado y buscar en patrones si indican que es una acción maliciosa, estos objetos de correlación miran las vulnerabilidades conocidas, los botnet, y demás log del firewall; si existe una relación indica con una alta probabilidad que ese host está comprometido.

Estos Objetos de correlación son definidos por el equipo de investigación de Palo Alto Network y se entregan a la semana con actualizaciones dinámicas. Para tener esta funcionalidad se debe tener una licencia de Prevención de amenazas.

Evento Correlado

Un evento correlado se registra cuando los patrones y los umbrales definidos en un objeto de correlación coinciden con los patrones y con el trafico de red.

 

Vista de los objetos de Correlación

Para ver los objetos de Correlación activados en el firewall, nos tenemos que posicionar sobre Monitor>Automated Correlation Engine>Correlation Objects.

Interpretación de eventos correlados

Monitor>Automated Correlation Engine>Correlated

Grados de severidad:

• Critical 
• High (alta)
• Medium (media)
• Low(baja)
• Informational(info)

Saludos
Israel Muñoz Ruiz