A F-Secure descobriu um aumento no número de exploits dedicados a explorar as vulnerabilidades do plug-in Flash, da Adobe. Dado o consistente uso das vulnerabilidades do Flash em cibercrimes, a F-Secure une-se a outros experts em segurança para sugerir que a Adobe e outras empresas reconsiderem o uso deste popular plug-in.
As vulnerabilidades do Flash foram colocadas em evidência após um exploit de dia zero usado pela Hacking Team, uma empresa de vigilância sediada na Itália, ter tido o sistema comprometido, resultando na proliferação de kits exploit de dia zero usados por criminosos.
Segundo a F-Secure Labs, as detecções de kits de exploração para o Flash aumentaram 82% nos dias que se seguiram a este ataque. Os pesquisadores estão atribuindo esse aumento à adoção do exploit de dia zero roubado da Hacking Team. O aumento seria devido, também, à subsequente descoberta de dois outros exploits de dia zero.
Os kits exploit são conjuntos de ferramentas que os criminosos usam para criar campanhas. O objetivo é tentar infectar computadores com malware apto a explorar as vulnerabilidades de softwares. Historicamente, os kits saíram-se muito bem na tarefa de explorar vulnerabilidades do Java e versões mais antigas do Windows.
“Tipicamente, os criminosos que usam exploit kits têm como alvo algum software vulnerável amplamente usado no mercado; o Flash lhes proporcionou um alvo fácil durante, no mínimo, os últimos sete ou oito meses”, disse Timo Hirvonen, pesquisador-sênior da F-Secure. “Tecnologias mais novas estão disponíveis e se tornando mais populares. Por isso, seria realmente válido o esforço de acelerar a adoção de tecnologias mais novas e mais seguras, e abandonar totalmente o uso do Flash.”
Segundo Sean Sullivan, assessor de segurança da campanhia, as empresas precisam prestar mais atenção em como os funcionários expõem-se a ameaças on-line ao navegarem na web descuidadamente.
“Caracterizo o Flash como uma ferramenta de fácil acesso, um alvo muito popular para ataques oportunistas”, disse ele. “As empresas precisam ser proativas no tocante a protegerem os funcionários contra essa ameaça.”