La semaine dernière, Adobe a diffusé une mise à jour de Flash Player afin de corriger plus d'une vingtaine de vulnérabilités de sécurité. Et il y avait urgence puisque parmi ces vulnérabilités, une faisait l'objet d'une attaque active. Adobe n'avait toutefois été guère bavard à ce sujet.
On en sait désormais davantage à la suite de la publication d'un rapport par FireEye où il est fait mention du bulletin de sécurité d'Adobe et de la vulnérabilité identifiée en tant que CVE-2015-3043 qui est activement exploitée.
Mais cette exploitation ne va pas seule. L'attaque s'appuie également sur une vulnérabilité dans Windows (CVE-2015-1701) qui pour le coup demeure 0-day. Microsoft n'a en effet pas proposé de patch pour cette faille dans sa fournée de rustines pour ce mois d'avril.
Le mode opératoire de l'attaque repose sur un clic de l'utilisateur sur un lien renvoyant vers un site Web contrôlé par l'attaquant. Du code JavaScript est utilisé pour initier l'exploit Flash qui va tirer parti de la vulnérabilité CVE-2015-3043 et exécuter du shellcode. Ce dernier télécharge et exécute la charge utile qui exploite la vulnérabilité d'élévation de privilèges de Windows (CVE-2015-1701) pour voler un jeton d'accès (token).
Cette attaque serait l'œuvre d'un groupe dénommé APT28. Il serait à la solde de la Russie afin de dérober des données sensibles en ciblant en particulier des agences gouvernementales ou de sécurité. FireEye parle d'une opération RussianDoll et Reuters évoque des cibles diplomatiques aux États-Unis et ailleurs.
L'urgence Flash Player n'était probablement pas pour l'internaute lambda, ce qui n'empêche pas de patcher.
