Une vuln�rabilit� zero-day critique dans Flash est activement exploit�e par des hackers
Une vuln�rabilit� zero-day critique dans Flash est activement exploit�e par des hackers
Adobe pr�voit un patch cette semaine
05/02/2018 : Le 1er f�vrier, Adobe a publi� un bulletin de s�curit� concernant une vuln�rabilit� Flash. Il s'agit d'une vuln�rabilit� critique de type Use After Free (UAF). Pour information, une vuln�rabilit� de type UAF est une vuln�rabilit� de corruption de m�moire qui peut �tre exploit�e pour ex�cuter du code � distance. L'expression Use After Free fait sp�cifiquement r�f�rence � la tentative d'acc�s � la m�moire apr�s sa lib�ration, ce qui peut entra�ner le blocage d'un programme ou l'ex�cution de code arbitraire ou m�me l'activation de capacit�s compl�tes d'ex�cution de code � distance. Ces vuln�rabilit�s ont �t� beaucoup exploit�es avec succ�s dans le monde des navigateurs. Cela a donc conduit les versions r�centes des navigateurs � introduire un certain nombre de contr�les pour rendre leur exploitation beaucoup plus difficile. Malgr� cela, elles semblent toujours persister.Mise � jour le 07/02/2018 : Adobe corrige la vuln�rabilit� zero-day critique de Flash Player exploit�e activement par des hackers nord-cor�ens
Adobe a mis � jour Flash Player pour corriger la vuln�rabilit� zero-day critique qui a �t� exploit�e par un groupe de hackers pr�tendument nord-cor�ens dans des attaques visant des cibles en Cor�e du Sud. La vuln�rabilit� en question, de type Use After Free (UAF) et r�pertori�e sous le nom CVE-2018-4878, affecte Flash Player 28.0.0.137 et les versions ant�rieures sur Mac, Linux, Windows et Chrome OS.
La mise � jour de Flash Player (version 28.0.0.161) devrait corriger cette vuln�rabilit�, mais �galement une autre vuln�rabilit� critique �galement de type UAF, r�pertori�e sous le nom CVE-2018-4877, qui permet l'ex�cution de code � distance. Cette derni�re a �t� rapport�e � Adobe par bo13oy de Qihoo 360 Vulcan Team via la Zero Day Initiative (ZDI) de Trend Micro. Adobe ne semble pas avoir connaissance d'attaques ayant exploit� la vuln�rabilit� CVE-2018-4877.
Source : Adobe
La vuln�rabilit� en question ici, r�pertori�e sous le nom CVE-2018-4878, r�side dans la derni�re version de Flash, d'apr�s les chercheurs de Talos, la branche de s�curit� du groupe Cisco Systems. Mais dans son bulletin de s�curit�, Adobe a d�clar� que les versions ant�rieures � Flash 28.0.0.137 sont �galement vuln�rables. Cette faille est actuellement activement exploit�e d'apr�s le CERT (Computer Emergency Response Team) de la Cor�e du Sud et Talos.
Dans leur avis de s�curit� publi� vendredi dernier, les chercheurs de Talos ont r�v�l� que l'exploit est distribu� via un document Microsoft Excel contenant un objet SWF (Flash) malveillant. L'exploit s'ex�cute � l'ouverture du document afin de t�l�charger une charge utile suppl�mentaire � partir d'un site Web compromis. Talos a identifi� que plusieurs des sites compromis h�bergeaient un shellcode utilis� pour extraire et ex�cuter une variante de ROKRAT, un outil d'administration � distance bien connu que la branche de s�curit� de Cisco suit depuis un bon moment.
Le groupe 123 s'est concentr� presque exclusivement sur l'infection de cibles situ�es en Cor�e du Sud. Un avis de s�curit� publi� par Talos en janvier indique en plus que les membres du groupe 123 parlent parfaitement le cor�en et connaissent parfaitement la r�gion de la p�ninsule de Cor�e. Talos n'a toutefois pas li� ce groupe � la Cor�e du Nord, m�me si des chercheurs en s�curit� sud-cor�ens pensent que l'exploit de Flash est l'�uvre de la Cor�e du Nord.
Jusqu'� pr�sent, le groupe derri�re ROKRAT (baptis� Groupe 123) ne s'�tait appuy� que sur l'ing�nierie sociale ou les exploits de vuln�rabilit�s plus anciennes et connues que les cibles n'avaient pas encore patch�es. D'apr�s Talos, c'est la premi�re fois que le groupe utilise un exploit zero-day ; ce qui veut dire pour les chercheurs de Talos qu'il est plus avanc� qu'ils le croyaient. � Le groupe 123 a maintenant rejoint une partie de l'�lite criminelle avec cette derni�re charge utile de ROKRAT �, ont �crit Warren Mercer et Paul Rascagneres, chercheurs de Talos. � Ils ont utilis� une vuln�rabilit� 0-day dans Adobe Flash qui �tait en dehors de leurs capacit�s pr�c�dentes � ils utilisaient des exploits dans les campagnes pr�c�dentes, mais jamais un nouvel exploit comme ils l'ont fait maintenant. Ce changement repr�sente une �volution majeure dans la maturit� du Groupe 123, nous pouvons maintenant consid�rer de mani�re certaine le Groupe 123 comme un groupe hautement qualifi�, hautement motiv� et hautement sophistiqu�. �
Adobe a annonc� qu'il pr�voit de publier une version corrig�e de Flash cette semaine. Ci-dessous la liste des produits et plateformes affect�es :
Produits Versions Plateformes Adobe Flash Player Desktop Runtime 28.0.0.137 et versions ant�rieures Windows, Mac et Linux Adobe Flash Player pour Google Chrome 28.0.0.137 et versions ant�rieures Windows, Mac, Linux et Chrome OS Adobe Flash Player pour Microsoft Edge et Internet Explorer 11 28.0.0.137 et versions ant�rieures Windows 10 et 8.1
Sources : Talos, Adobe
Et vous ?
Qu'en pensez-vous ?
R�pondre avec citation
Envoy� par BenaeSan
