Adobe corrige une vulnérabilité de type zero-day dans Flash Player
Qui était activement utilisée depuis mars par un groupe de pirates

Le , par Stéphane le calme, Chroniqueur Actualités
Jeudi dernier, Adobe a publié un correctif pour colmater une vulnérabilité de type zero-day dans Flash Player dont se sont servis des attaquants. Les chercheurs en sécurité de Kaspersky, qui ont découvert cette faille, pensent qu’elle a été exploitée par un groupe de pirates qui est dans son radar et qui se fait appeler ScarCruft.

« ScarCruft est un groupe APT relativement nouveau ; ses victimes ont été observées en Russie, au Népal, en Corée du Sud, en Chine, en Inde, au Koweït et en Roumanie. Le groupe dispose de plusieurs opérations en cours, en utilisant de multiples exploits - deux d’Adobe Flash et une de Microsoft Internet Explorer ».

Pour rappel, le sigle APT désigne ce qu’on appelle les « menaces persistantes avancées » (en anglais, Advanced Persistent Threat). Les APT peuvent être vus de deux manières : les APT en tant qu’attaques et les APT en tant que personnes. D’un côté une APT désigne une cyberattaque extrêmement précise, d’un autre, elle désigne un groupe, souvent sponsorisé par un État ou par un autre groupe, qui est responsable de ces attaques ciblées. Le but d’une attaque APT est de compromettre un ordinateur sur lequel on peut trouver des informations de valeur. Il faut cependant préciser que, si une attaque APT vise une entreprise, il est inutile d’être haut placé pour en être la victime : presque tout le monde disposant d’un accès au réseau de l’entreprise est une victime potentielle dans la mesure où l’attaque a besoin d’un point de départ pour compromettre l’entreprise.

En 2013 par exemple, une campagne d’espionnage APT appelée « NetTraveler » qui pourrait avoir existé depuis près de dix ans dans le but de cibler des diplomates, des sous-traitants militaires, et des agences gouvernementales dans plus de 40 pays. Cette attaque, comme de nombreuses attaques APT a commencé avec des attaques d’hameçonnage qui exploitaient des vulnérabilités de Microsoft connues. Les pirates ont fini par déployer un outil capable d’extraire des systèmes d’information, de mettre en place des malwares enregistreurs de frappes, de voler des documents Office tels que des fichiers Word, Excel et PowerPoint, et même de modifier certaines configurations afin de voler des designs Corel Draw, des fichiers AutoCAD et d’autres types de fichiers utilisés dans le domaine militaire. Cette attaque a être considérée comme une menace avancée persistante, car il semble qu’elle aurait seulement ciblé des individus et des organisations dont les ordinateurs pourraient contenir des informations de valeur.

Operation Daybreak, la campagne de piratage se servant d’un exploit zero-day non connu de Flash Player, a été amorcée en mars 2016. « Il est également possible que le groupe ait déployé un autre exploit zero-day, CVE-2016-0147, qui a été patché en avril », ont précisé les chercheurs qui indiquent que cette attaque semble viser de hauts profils via une technique d’hameçonnage.

Les chercheurs notent que la façon dont ont été exploitée les victimes n’est pas claire : « bien que le vecteur EXACT demeure inconnu, les cibles semblent avoir reçu un lien malveillant qui pointe vers un site web piraté où un kit d’exploit est hébergé ». Le serveur web piraté qui héberge le kit d’exploit est associé à l’APT ScarCruft et certains détails, comme l’utilisation de la même infrastructure et de la même façon de cibler, ont fait penser aux chercheurs que l’Operation Daybreak est l’œuvre de ScarCruft.

« Le groupe AP ScarCruft est relativement un nouvel entrant, et s’est débrouillé pour rester sous les radars pendant un moment. En général, leur travail est très professionnel et bien fait. Leurs outils et techniques sont bien au-dessus de la moyenne. Avant la découverte de l'Operation Daybreak, nous avons observé l’APT ScarCruft lancer une série d'attaques dans l'Operation Erebus. L’Operation Erebus exploite un autre exploit Flash Player exploit (CVE-2016-4117) grâce à l'utilisation d’attaques de point d’eau », ont expliqué les chercheurs.

Dans le cadre de l’Operation Daybreak, le kit d’exploit effectue quelques vérifications relatives au navigateur internet employé par la victime avant de le rediriger vers un serveur contrôlé par les attaquants et qui se trouve en Pologne. Le processus d’exploitation consiste en trois objets Flash. L’objet Flash qui déclenche la vulnérabilité Adobe Flash est localisé dans le second SWF délivré à la victime. Par la suite, à la fin de la chaîne d’exploitation, le serveur envoie un fichier PDF légitime à l’utilisateur « China.pdf » dont le texte parle des désagréments entre la Chine et « le Nord » concernant les programmes nucléaires et la démilitarisation.

Wolfgang Kandek, le Directeur Technologique du spécialiste en sécurité cloud Qualys, a avancé que « c’est le troisième mois d’affilé que nous voyons un zero-day dans Flash, ce qui le rend probablement le logiciel le plus ciblé des endpoints de nos entreprises ».

Mais les chercheurs de Kaspersky ont tenu à féliciter Adobe pour avoir vite colmaté la faille dès qu’elle a été connue : « Adobe a fait du bon travail en implémentant ces nouvelles mesures d’atténuation pour rendre l’exploitation de Flash Player encore plus difficile. Cependant, des acteurs malveillants ingénieux de la trempe de ScarCruft vont probablement continuer de déployer des exploits zero-day contre leurs cibles de haut profil ».

Source : blog Securelist (Operation Daybreak), Adobe (bulletins de sécurité), blog Qualys

Voir aussi :

le forum Flash


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de gretro gretro - Membre actif https://www.developpez.com
le 20/06/2016 à 22:30
Bref, rien de neuf sous le Soleil.

On apprend de nouveau que les plugins navigateurs de type NPAPI (et PPAPI) sont de véritables passoires.
Avatar de zulad zulad - Membre confirmé https://www.developpez.com
le 01/07/2016 à 18:50
On dirait bien depuis le temps que ça dure qu'on n'arrivera pas a sécuriser des plugins.

Je continue d'être frustré, étant dessinateur plus que codeur je crois qu'il n'y aura jamais d'émergence de mon vivant pour un web 2 tel que la promesse avait eu lieue avec flex et flash dans les années 2000. Les superbes sites et autres ... maintenant c'est une affaire d'ingénieurs. Allez hop, j'en ai marre, je vais faire mon site out of browser en flash sur adobe air. Là je pourrai m'éclater...

Le seul problème c'est que ce ne sera plus vraiment un site internet Tant pis, je déserte le web, c'est devenu une plaie ouverte bourré d'interdits. Je vais essayer de lancer cette tendance de site adobe air à télécharger. En espérant qu'il y ai moyen de charger du contenu en ligne par web service ou en rest.
Offres d'emploi IT
Ingénieur moa logiciel H/F
Safran - Ile de France - Villaroche
Ingénieur produit (FADEC militaire) H/F
Safran - Ile de France - 100 rue de Paris 91300 MASSY
Responsable de projet (calculateur moteur) H/F
Safran - Ile de France - Massy (91300)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil