Une vulnérabilité zero-day critique dans Flash est activement exploitée par des hackers
Adobe prévoit un patch cette semaine

Le , par Michael Guilloux, Chroniqueur Actualités
Mise à jour le 07/02/2018 : Adobe corrige la vulnérabilité zero-day critique de Flash Player exploitée activement par des hackers nord-coréens

Adobe a mis à jour Flash Player pour corriger la vulnérabilité zero-day critique qui a été exploitée par un groupe de hackers prétendument nord-coréens dans des attaques visant des cibles en Corée du Sud. La vulnérabilité en question, de type Use After Free (UAF) et répertoriée sous le nom CVE-2018-4878, affecte Flash Player 28.0.0.137 et les versions antérieures sur Mac, Linux, Windows et Chrome OS.

La mise à jour de Flash Player (version 28.0.0.161) devrait corriger cette vulnérabilité, mais également une autre vulnérabilité critique également de type UAF, répertoriée sous le nom CVE-2018-4877, qui permet l'exécution de code à distance. Cette dernière a été rapportée à Adobe par bo13oy de Qihoo 360 Vulcan Team via la Zero Day Initiative (ZDI) de Trend Micro. Adobe ne semble pas avoir connaissance d'attaques ayant exploité la vulnérabilité CVE-2018-4877.

Source : Adobe
05/02/2018 : Le 1er février, Adobe a publié un bulletin de sécurité concernant une vulnérabilité Flash. Il s'agit d'une vulnérabilité critique de type Use After Free (UAF). Pour information, une vulnérabilité de type UAF est une vulnérabilité de corruption de mémoire qui peut être exploitée pour exécuter du code à distance. L'expression Use After Free fait spécifiquement référence à la tentative d'accès à la mémoire après sa libération, ce qui peut entraîner le blocage d'un programme ou l'exécution de code arbitraire ou même l'activation de capacités complètes d'exécution de code à distance. Ces vulnérabilités ont été beaucoup exploitées avec succès dans le monde des navigateurs. Cela a donc conduit les versions récentes des navigateurs à introduire un certain nombre de contrôles pour rendre leur exploitation beaucoup plus difficile. Malgré cela, elles semblent toujours persister.

La vulnérabilité en question ici, répertoriée sous le nom CVE-2018-4878, réside dans la dernière version de Flash, d'après les chercheurs de Talos, la branche de sécurité du groupe Cisco Systems. Mais dans son bulletin de sécurité, Adobe a déclaré que les versions antérieures à Flash 28.0.0.137 sont également vulnérables. Cette faille est actuellement activement exploitée d'après le CERT (Computer Emergency Response Team) de la Corée du Sud et Talos.

Dans leur avis de sécurité publié vendredi dernier, les chercheurs de Talos ont révélé que l'exploit est distribué via un document Microsoft Excel contenant un objet SWF (Flash) malveillant. L'exploit s'exécute à l'ouverture du document afin de télécharger une charge utile supplémentaire à partir d'un site Web compromis. Talos a identifié que plusieurs des sites compromis hébergeaient un shellcode utilisé pour extraire et exécuter une variante de ROKRAT, un outil d'administration à distance bien connu que la branche de sécurité de Cisco suit depuis un bon moment.

Le groupe 123 s'est concentré presque exclusivement sur l'infection de cibles situées en Corée du Sud. Un avis de sécurité publié par Talos en janvier indique en plus que les membres du groupe 123 parlent parfaitement le coréen et connaissent parfaitement la région de la péninsule de Corée. Talos n'a toutefois pas lié ce groupe à la Corée du Nord, même si des chercheurs en sécurité sud-coréens pensent que l'exploit de Flash est l'œuvre de la Corée du Nord.


Jusqu'à présent, le groupe derrière ROKRAT (baptisé Groupe 123) ne s'était appuyé que sur l'ingénierie sociale ou les exploits de vulnérabilités plus anciennes et connues que les cibles n'avaient pas encore patchées. D'après Talos, c'est la première fois que le groupe utilise un exploit zero-day ; ce qui veut dire pour les chercheurs de Talos qu'il est plus avancé qu'ils le croyaient. « Le groupe 123 a maintenant rejoint une partie de l'élite criminelle avec cette dernière charge utile de ROKRAT », ont écrit Warren Mercer et Paul Rascagneres, chercheurs de Talos. « Ils ont utilisé une vulnérabilité 0-day dans Adobe Flash qui était en dehors de leurs capacités précédentes – ils utilisaient des exploits dans les campagnes précédentes, mais jamais un nouvel exploit comme ils l'ont fait maintenant. Ce changement représente une évolution majeure dans la maturité du Groupe 123, nous pouvons maintenant considérer de manière certaine le Groupe 123 comme un groupe hautement qualifié, hautement motivé et hautement sophistiqué. »

Adobe a annoncé qu'il prévoit de publier une version corrigée de Flash cette semaine. Ci-dessous la liste des produits et plateformes affectées :

Produits Versions Plateformes
Adobe Flash Player Desktop Runtime 28.0.0.137 et versions antérieures Windows, Mac et Linux
Adobe Flash Player pour Google Chrome 28.0.0.137 et versions antérieures Windows, Mac, Linux et Chrome OS
Adobe Flash Player pour Microsoft Edge et Internet Explorer 11 28.0.0.137 et versions antérieures Windows 10 et 8.1


Sources : Talos, Adobe

Et vous ?

Qu'en pensez-vous ?
Utilisez-vous encore Adobe Flash Player ?
Croyez-vous que les risques de sécurité liés à Flash sont acceptables par rapport à ses avantages ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de transgohan transgohan - Expert éminent https://www.developpez.com
le 05/02/2018 à 14:35
Qu'en pensez-vous ?
Ne pourrais-t-ils pas l'avoir acheté au marché noir cette faille zero-day ? Cela diminuerai fortement leurs qualifications.
Utilisez-vous encore Adobe Flash Player ?
A part les sites pornos, qui utilise encore flash ? Hum... Comment je le sais ? Comment ça c'est pas encore vendredi !
Mon plugin flash est désactivé de base dans le navigateur, et concernant les documents (office et compagnie) je ne les ouvre jamais en laissant les macros et autre joyeuseté s'exécuter. Voire je les fuis préférant le format PDF.
Croyez-vous que les risques de sécurité liés à Flash sont acceptables par rapport à ses avantages ?
Cela fait longtemps pour moi que Flash ne sert plus à rien. Après je peux me tromper et ne pas connaître tous ses domaines d'applications, mais pour tout ceux auxquels je pense il est facilement remplaçable.
Avatar de BenaeSan BenaeSan - Membre du Club https://www.developpez.com
le 05/02/2018 à 14:46
Idem, il est désactivé par défaut, mais me sert toujours pour Deezer. D’ailleurs je ne comprends toujours pas comment en 2018, Deezer n'est pas passé à une autre technologie que ça. Sauf à part peut être pour une sombre histoire de DRM.
Avatar de henri_b henri_b - Membre du Club https://www.developpez.com
le 05/02/2018 à 15:00
Si les gens continuent à ouvrir des fichiers (excel ou autre) reçus dans leur bote mail et envoyé par des inconnus, le problème n'est même pas d'ordre technologique... car des failles il y en a partout, c'est quasi la norme en informatique. Vraiement, le problème est ailleurs...
Avatar de RyzenOC RyzenOC - Membre éclairé https://www.developpez.com
le 05/02/2018 à 17:51
la photo montre Office 2007 qui n'est plus supporté par MS...

La faille est elle exploitable sous Office 2010/2013/2016 (la news ne le précise pas) ? si non alors c'est clairement de la mauvaise foi. Car c'est facile de trouver des failles sous Libreoffice 2.0, Windows XP, Linux 1.14....etc.

Pour la Corée du Sud, grande utilisatrice d'activX, je pense que Flash c'est le cadet de ces soucis
Avatar de Aiekick Aiekick - Membre chevronné https://www.developpez.com
le 05/02/2018 à 19:03
ou tout simplement hautement financé. des failles zero day ca s'achete aussi
Avatar de Aiekick Aiekick - Membre chevronné https://www.developpez.com
le 05/02/2018 à 19:04
Citation Envoyé par BenaeSan Voir le message
Idem, il est désactivé par défaut, mais me sert toujours pour Deezer. D’ailleurs je ne comprends toujours pas comment en 2018, Deezer n'est pas passé à une autre technologie que ça. Sauf à part peut être pour une sombre histoire de DRM.
deezer a aussi une version desktop
Avatar de arond arond - Membre éprouvé https://www.developpez.com
le 06/02/2018 à 8:38
Citation Envoyé par RyzenOC Voir le message
la photo montre Office 2007 qui n'est plus supporté par MS...

La faille est elle exploitable sous Office 2010/2013/2016 (la news ne le précise pas) ? si non alors c'est clairement de la mauvaise foi. Car c'est facile de trouver des failles sous Libreoffice 2.0, Windows XP, Linux 1.14....etc.

Pour la Corée du Sud, grande utilisatrice d'activX, je pense que Flash c'est le cadet de ces soucis
2007 est encore largement utiliser en entreprise (la où je bosse on a 2000 jolies petits pc sous win7 avec le pack office 2007)
Avatar de transgohan transgohan - Expert éminent https://www.developpez.com
le 06/02/2018 à 11:14
Citation Envoyé par RyzenOC Voir le message
La faille est elle exploitable sous Office 2010/2013/2016 (la news ne le précise pas) ? si non alors c'est clairement de la mauvaise foi. Car c'est facile de trouver des failles sous Libreoffice 2.0, Windows XP, Linux 1.14....etc.
La faille n'est pas dans Office mais dans Flash.
Donc c'est reproductible avec toute suite bureautique qui permet l'ajout d'objet flash.
Avatar de biscotte31 biscotte31 - Nouveau Candidat au Club https://www.developpez.com
le 06/02/2018 à 15:11
Alors pour deezer, c'est faux, la version web (dans sans pub si adblock) marche parfaitement sans adobe flash.
- Sous firefox il suffie d'activé le support HTML5 dans les paramettres "labs"
- Sous Chromium ca marche de base car il utilise pepperflash (flash de google)
Avatar de MikeRowSoft MikeRowSoft - I.A. en bêta-test https://www.developpez.com
le 07/02/2018 à 9:40
[...]
Utilisez-vous encore Adobe Flash Player ?
Croyez-vous que les risques de sécurité liés à Flash sont acceptables par rapport à ses avantages ?
[...]
En tant qu'utilisateur :

  • Je n'ai vue que de très rares (très peu) de sites Internet proposant l'usage de Flash. Je présume que quelques interfaces de loisirs l'emploi aussi, cela via un Intranet ou Internet. Il y a bien eu des heures été des heures de formations, alors tout gâché et un très peu de temps ?
  • Oui et non, en tant qu'utilisateur la seule chose demandé est de pouvoir accéder aux services. En tant que développeur craignant l'eau froide, autant prendre des précautions.


J'ai aussi remarqué que les versions récentes de Firefox n'affiche plus l'alerte de manque de plugin flash.


www.orange.fr le trouve nécessaire pour consulter la messagerie vocale des comptes téléphoniques mobiles et fixes, d’ailleurs il est même possible d'envoyer un SMS depuis un fixe mais pas d'en recevoir.
Il y a aussi l’existence d'un plugin à installer et qui est développé par orange selon le binaire d'installation, mais là, cela n'a rien a voir avec flash et le besoin plutôt mitigé d'en avoir surtout que Java y règne en maitre comme avec Open Office...
Contacter le responsable de la rubrique Accueil