Le pourquoi de l'urgence Flash Player

Le par  |  3 commentaire(s) Source : FireEye
Flash_Player

A priori à la solde de la Russie, un groupe de hackers exploite dans des attaques une faille Flash Player - corrigée en urgence la semaine dernière - et combinée avec une 0-day dans Windows.

La semaine dernière, Adobe a diffusé une mise à jour de Flash Player afin de corriger plus d'une vingtaine de vulnérabilités de sécurité. Et il y avait urgence puisque parmi ces vulnérabilités, une faisait l'objet d'une attaque active. Adobe n'avait toutefois été guère bavard à ce sujet.

On en sait désormais davantage à la suite de la publication d'un rapport par FireEye où il est fait mention du bulletin de sécurité d'Adobe et de la vulnérabilité identifiée en tant que CVE-2015-3043 qui est activement exploitée.

Mais cette exploitation ne va pas seule. L'attaque s'appuie également sur une vulnérabilité dans Windows (CVE-2015-1701) qui pour le coup demeure 0-day. Microsoft n'a en effet pas proposé de patch pour cette faille dans sa fournée de rustines pour ce mois d'avril.

cyberattaque Néanmoins, la seule application du patch d'Adobe suffit à rendre l'attaque inopérante. La vulnérabilité dans Windows en elle-même n'est manifestement pas critique puisque de type élévation de privilèges en local.

Le mode opératoire de l'attaque repose sur un clic de l'utilisateur sur un lien renvoyant vers un site Web contrôlé par l'attaquant. Du code JavaScript est utilisé pour initier l'exploit Flash qui va tirer parti de la vulnérabilité CVE-2015-3043 et exécuter du shellcode. Ce dernier télécharge et exécute la charge utile qui exploite la vulnérabilité d'élévation de privilèges de Windows (CVE-2015-1701) pour voler un jeton d'accès (token).

Cette attaque serait l'œuvre d'un groupe dénommé APT28. Il serait à la solde de la Russie afin de dérober des données sensibles en ciblant en particulier des agences gouvernementales ou de sécurité. FireEye parle d'une opération RussianDoll et Reuters évoque des cibles diplomatiques aux États-Unis et ailleurs.

L'urgence Flash Player n'était probablement pas pour l'internaute lambda, ce qui n'empêche pas de patcher.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1839965
MDR ,encore un coup de poutine
En pleine guerre de commu-niqués les différentes propagandes font rage même sur GNT
Une vrai faille c'est celle qui ne se voit pas
Anonyme
Le #1839978
jacob13 a écrit :

MDR ,encore un coup de poutine
En pleine guerre de commu-niqués les différentes propagandes font rage même sur GNT
Une vrai faille c'est celle qui ne se voit pas


Ah non ! Laisse la poutine en dehors de ça
Le #1840533
La poutine c'est québécois :-)

Sérieux, aussitôt patché, aussitôt à patcher.

C'est sans cesse. Il faut plutôt à vivre avec ou sans
et utiliser l'option de Firefox qui bloque par défaut Flash.

Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]