IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Une vulnérabilité zero-day critique dans Flash est activement exploitée par des hackers
Adobe prévoit un patch cette semaine

Le , par Michael Guilloux

526PARTAGES

13  0 
Mise à jour le 07/02/2018 : Adobe corrige la vulnérabilité zero-day critique de Flash Player exploitée activement par des hackers nord-coréens

Adobe a mis à jour Flash Player pour corriger la vulnérabilité zero-day critique qui a été exploitée par un groupe de hackers prétendument nord-coréens dans des attaques visant des cibles en Corée du Sud. La vulnérabilité en question, de type Use After Free (UAF) et répertoriée sous le nom CVE-2018-4878, affecte Flash Player 28.0.0.137 et les versions antérieures sur Mac, Linux, Windows et Chrome OS.

La mise à jour de Flash Player (version 28.0.0.161) devrait corriger cette vulnérabilité, mais également une autre vulnérabilité critique également de type UAF, répertoriée sous le nom CVE-2018-4877, qui permet l'exécution de code à distance. Cette dernière a été rapportée à Adobe par bo13oy de Qihoo 360 Vulcan Team via la Zero Day Initiative (ZDI) de Trend Micro. Adobe ne semble pas avoir connaissance d'attaques ayant exploité la vulnérabilité CVE-2018-4877.

Source : Adobe
05/02/2018 : Le 1er février, Adobe a publié un bulletin de sécurité concernant une vulnérabilité Flash. Il s'agit d'une vulnérabilité critique de type Use After Free (UAF). Pour information, une vulnérabilité de type UAF est une vulnérabilité de corruption de mémoire qui peut être exploitée pour exécuter du code à distance. L'expression Use After Free fait spécifiquement référence à la tentative d'accès à la mémoire après sa libération, ce qui peut entraîner le blocage d'un programme ou l'exécution de code arbitraire ou même l'activation de capacités complètes d'exécution de code à distance. Ces vulnérabilités ont été beaucoup exploitées avec succès dans le monde des navigateurs. Cela a donc conduit les versions récentes des navigateurs à introduire un certain nombre de contrôles pour rendre leur exploitation beaucoup plus difficile. Malgré cela, elles semblent toujours persister.

La vulnérabilité en question ici, répertoriée sous le nom CVE-2018-4878, réside dans la dernière version de Flash, d'après les chercheurs de Talos, la branche de sécurité du groupe Cisco Systems. Mais dans son bulletin de sécurité, Adobe a déclaré que les versions antérieures à Flash 28.0.0.137 sont également vulnérables. Cette faille est actuellement activement exploitée d'après le CERT (Computer Emergency Response Team) de la Corée du Sud et Talos.

Dans leur avis de sécurité publié vendredi dernier, les chercheurs de Talos ont révélé que l'exploit est distribué via un document Microsoft Excel contenant un objet SWF (Flash) malveillant. L'exploit s'exécute à l'ouverture du document afin de télécharger une charge utile supplémentaire à partir d'un site Web compromis. Talos a identifié que plusieurs des sites compromis hébergeaient un shellcode utilisé pour extraire et exécuter une variante de ROKRAT, un outil d'administration à distance bien connu que la branche de sécurité de Cisco suit depuis un bon moment.

Le groupe 123 s'est concentré presque exclusivement sur l'infection de cibles situées en Corée du Sud. Un avis de sécurité publié par Talos en janvier indique en plus que les membres du groupe 123 parlent parfaitement le coréen et connaissent parfaitement la région de la péninsule de Corée. Talos n'a toutefois pas lié ce groupe à la Corée du Nord, même si des chercheurs en sécurité sud-coréens pensent que l'exploit de Flash est l'œuvre de la Corée du Nord.


Jusqu'à présent, le groupe derrière ROKRAT (baptisé Groupe 123) ne s'était appuyé que sur l'ingénierie sociale ou les exploits de vulnérabilités plus anciennes et connues que les cibles n'avaient pas encore patchées. D'après Talos, c'est la première fois que le groupe utilise un exploit zero-day ; ce qui veut dire pour les chercheurs de Talos qu'il est plus avancé qu'ils le croyaient. « Le groupe 123 a maintenant rejoint une partie de l'élite criminelle avec cette dernière charge utile de ROKRAT », ont écrit Warren Mercer et Paul Rascagneres, chercheurs de Talos. « Ils ont utilisé une vulnérabilité 0-day dans Adobe Flash qui était en dehors de leurs capacités précédentes – ils utilisaient des exploits dans les campagnes précédentes, mais jamais un nouvel exploit comme ils l'ont fait maintenant. Ce changement représente une évolution majeure dans la maturité du Groupe 123, nous pouvons maintenant considérer de manière certaine le Groupe 123 comme un groupe hautement qualifié, hautement motivé et hautement sophistiqué. »

Adobe a annoncé qu'il prévoit de publier une version corrigée de Flash cette semaine. Ci-dessous la liste des produits et plateformes affectées :

Produits Versions Plateformes
Adobe Flash Player Desktop Runtime 28.0.0.137 et versions antérieures Windows, Mac et Linux
Adobe Flash Player pour Google Chrome 28.0.0.137 et versions antérieures Windows, Mac, Linux et Chrome OS
Adobe Flash Player pour Microsoft Edge et Internet Explorer 11 28.0.0.137 et versions antérieures Windows 10 et 8.1


Sources : Talos, Adobe

Et vous ?

Qu'en pensez-vous ?
Utilisez-vous encore Adobe Flash Player ?
Croyez-vous que les risques de sécurité liés à Flash sont acceptables par rapport à ses avantages ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de transgohan
Expert éminent https://www.developpez.com
Le 05/02/2018 à 14:35
Qu'en pensez-vous ?
Ne pourrais-t-ils pas l'avoir acheté au marché noir cette faille zero-day ? Cela diminuerai fortement leurs qualifications.
Utilisez-vous encore Adobe Flash Player ?
A part les sites pornos, qui utilise encore flash ? Hum... Comment je le sais ? Comment ça c'est pas encore vendredi !
Mon plugin flash est désactivé de base dans le navigateur, et concernant les documents (office et compagnie) je ne les ouvre jamais en laissant les macros et autre joyeuseté s'exécuter. Voire je les fuis préférant le format PDF.
Croyez-vous que les risques de sécurité liés à Flash sont acceptables par rapport à ses avantages ?
Cela fait longtemps pour moi que Flash ne sert plus à rien. Après je peux me tromper et ne pas connaître tous ses domaines d'applications, mais pour tout ceux auxquels je pense il est facilement remplaçable.
3  0 
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 06/02/2018 à 11:14
Citation Envoyé par RyzenOC Voir le message
La faille est elle exploitable sous Office 2010/2013/2016 (la news ne le précise pas) ? si non alors c'est clairement de la mauvaise foi. Car c'est facile de trouver des failles sous Libreoffice 2.0, Windows XP, Linux 1.14....etc.
La faille n'est pas dans Office mais dans Flash.
Donc c'est reproductible avec toute suite bureautique qui permet l'ajout d'objet flash.
3  0 
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 07/02/2018 à 11:28
Citation Envoyé par Rapmerd3ur Voir le message
Typique de la pensée pauvre, voire ridicule, que de vouloir dénigrer l'autre en le disant moins qualifié que nous. Vous avez quel âge, 13 ans ?
Je crains de ne pas comprendre...
Autant ma question avait de l'intérêt (savoir si ce genre de faille se monnaie facilement sur le marché noir), autant la votre, accompagnée de vos affabulation sur ma méthode de pensée qui fait doucement penser à du racisme, est en effet digne d'un manque de réflexion.
Attention à la modération, conseil que je vous prodigue.
3  0 
Avatar de arond
Membre expérimenté https://www.developpez.com
Le 07/02/2018 à 11:31
Citation Envoyé par Rapmerd3ur Voir le message
Typique de la pensée pauvre, voire ridicule, que de vouloir dénigrer l'autre en le disant moins qualifié que nous. Vous avez quel âge, 13 ans ?
Hum suis je le seul à trouver cette remarque fortement amusante venant de quelqu'un qui se prétend collégien ?
2  0 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 05/02/2018 à 19:03
ou tout simplement hautement financé. des failles zero day ca s'achete aussi
1  0 
Avatar de BenaeSan
Membre régulier https://www.developpez.com
Le 05/02/2018 à 14:46
Idem, il est désactivé par défaut, mais me sert toujours pour Deezer. D’ailleurs je ne comprends toujours pas comment en 2018, Deezer n'est pas passé à une autre technologie que ça. Sauf à part peut être pour une sombre histoire de DRM.
0  0 
Avatar de henri_b
Membre du Club https://www.developpez.com
Le 05/02/2018 à 15:00
Si les gens continuent à ouvrir des fichiers (excel ou autre) reçus dans leur bote mail et envoyé par des inconnus, le problème n'est même pas d'ordre technologique... car des failles il y en a partout, c'est quasi la norme en informatique. Vraiement, le problème est ailleurs...
0  0 
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 05/02/2018 à 17:51
la photo montre Office 2007 qui n'est plus supporté par MS...

La faille est elle exploitable sous Office 2010/2013/2016 (la news ne le précise pas) ? si non alors c'est clairement de la mauvaise foi. Car c'est facile de trouver des failles sous Libreoffice 2.0, Windows XP, Linux 1.14....etc.

Pour la Corée du Sud, grande utilisatrice d'activX, je pense que Flash c'est le cadet de ces soucis
0  0 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 05/02/2018 à 19:04
Citation Envoyé par BenaeSan Voir le message
Idem, il est désactivé par défaut, mais me sert toujours pour Deezer. D’ailleurs je ne comprends toujours pas comment en 2018, Deezer n'est pas passé à une autre technologie que ça. Sauf à part peut être pour une sombre histoire de DRM.
deezer a aussi une version desktop
0  0 
Avatar de arond
Membre expérimenté https://www.developpez.com
Le 06/02/2018 à 8:38
Citation Envoyé par RyzenOC Voir le message
la photo montre Office 2007 qui n'est plus supporté par MS...

La faille est elle exploitable sous Office 2010/2013/2016 (la news ne le précise pas) ? si non alors c'est clairement de la mauvaise foi. Car c'est facile de trouver des failles sous Libreoffice 2.0, Windows XP, Linux 1.14....etc.

Pour la Corée du Sud, grande utilisatrice d'activX, je pense que Flash c'est le cadet de ces soucis
2007 est encore largement utiliser en entreprise (la où je bosse on a 2000 jolies petits pc sous win7 avec le pack office 2007)
0  0