Los hackers de RSA explotaron una brecha de día cero en Flash Player

RSA ha explicado que los atacantes consiguieron acceder a su red enviando a dos pequeños grupos de empleados correos electrónicos con hojas de cálculo Excel adjuntas para explotar la brecha de día cero en Adobe Flash Player. Uno de esos empleados abrió el archivo, cuyo nombre era “2011 Recruitment plan.xls”.

La hoja de cálculo contenía un fichero Flash embebido que explotaba una brecha de día cero –una vulnerabilidad desconocida en aquel momento para Adobe y, por tanto, no resuelta- y que permitió a los atacantes entrar en el PC del empleado.

Una vez logrado esto, los atacantes instalaron una variante personalizada de la herramienta de administración remota (RAT) Poison Ivy sobre el ordenador comprometido. Y, utilizando RAT, consiguieron credenciales de usuarios para acceder a otras máquinas dentro de la red de RSA, y buscar y copiar información, para después transferirla a servidores controlados por ellos.

Aunque RSA no ha detallado qué información resultó robada, ha admitido que estaba relacionada con los productos de autenticación basada en dos factores SecurID.