Developpez.com

Le Club des Développeurs et IT Pro

Une vulnérabilité zero-day critique dans Flash est activement exploitée par des hackers

Adobe prévoit un patch cette semaine

Le 2018-02-05 13:37:27, par Michael Guilloux, Chroniqueur Actualités
Mise à jour le 07/02/2018 : Adobe corrige la vulnérabilité zero-day critique de Flash Player exploitée activement par des hackers nord-coréens

Adobe a mis à jour Flash Player pour corriger la vulnérabilité zero-day critique qui a été exploitée par un groupe de hackers prétendument nord-coréens dans des attaques visant des cibles en Corée du Sud. La vulnérabilité en question, de type Use After Free (UAF) et répertoriée sous le nom CVE-2018-4878, affecte Flash Player 28.0.0.137 et les versions antérieures sur Mac, Linux, Windows et Chrome OS.

La mise à jour de Flash Player (version 28.0.0.161) devrait corriger cette vulnérabilité, mais également une autre vulnérabilité critique également de type UAF, répertoriée sous le nom CVE-2018-4877, qui permet l'exécution de code à distance. Cette dernière a été rapportée à Adobe par bo13oy de Qihoo 360 Vulcan Team via la Zero Day Initiative (ZDI) de Trend Micro. Adobe ne semble pas avoir connaissance d'attaques ayant exploité la vulnérabilité CVE-2018-4877.

Source : Adobe
05/02/2018 : Le 1er février, Adobe a publié un bulletin de sécurité concernant une vulnérabilité Flash. Il s'agit d'une vulnérabilité critique de type Use After Free (UAF). Pour information, une vulnérabilité de type UAF est une vulnérabilité de corruption de mémoire qui peut être exploitée pour exécuter du code à distance. L'expression Use After Free fait spécifiquement référence à la tentative d'accès à la mémoire après sa libération, ce qui peut entraîner le blocage d'un programme ou l'exécution de code arbitraire ou même l'activation de capacités complètes d'exécution de code à distance. Ces vulnérabilités ont été beaucoup exploitées avec succès dans le monde des navigateurs. Cela a donc conduit les versions récentes des navigateurs à introduire un certain nombre de contrôles pour rendre leur exploitation beaucoup plus difficile. Malgré cela, elles semblent toujours persister.

La vulnérabilité en question ici, répertoriée sous le nom CVE-2018-4878, réside dans la dernière version de Flash, d'après les chercheurs de Talos, la branche de sécurité du groupe Cisco Systems. Mais dans son bulletin de sécurité, Adobe a déclaré que les versions antérieures à Flash 28.0.0.137 sont également vulnérables. Cette faille est actuellement activement exploitée d'après le CERT (Computer Emergency Response Team) de la Corée du Sud et Talos.

Dans leur avis de sécurité publié vendredi dernier, les chercheurs de Talos ont révélé que l'exploit est distribué via un document Microsoft Excel contenant un objet SWF (Flash) malveillant. L'exploit s'exécute à l'ouverture du document afin de télécharger une charge utile supplémentaire à partir d'un site Web compromis. Talos a identifié que plusieurs des sites compromis hébergeaient un shellcode utilisé pour extraire et exécuter une variante de ROKRAT, un outil d'administration à distance bien connu que la branche de sécurité de Cisco suit depuis un bon moment.

Le groupe 123 s'est concentré presque exclusivement sur l'infection de cibles situées en Corée du Sud. Un avis de sécurité publié par Talos en janvier indique en plus que les membres du groupe 123 parlent parfaitement le coréen et connaissent parfaitement la région de la péninsule de Corée. Talos n'a toutefois pas lié ce groupe à la Corée du Nord, même si des chercheurs en sécurité sud-coréens pensent que l'exploit de Flash est l'œuvre de la Corée du Nord.


Jusqu'à présent, le groupe derrière ROKRAT (baptisé Groupe 123) ne s'était appuyé que sur l'ingénierie sociale ou les exploits de vulnérabilités plus anciennes et connues que les cibles n'avaient pas encore patchées. D'après Talos, c'est la première fois que le groupe utilise un exploit zero-day ; ce qui veut dire pour les chercheurs de Talos qu'il est plus avancé qu'ils le croyaient. « Le groupe 123 a maintenant rejoint une partie de l'élite criminelle avec cette dernière charge utile de ROKRAT », ont écrit Warren Mercer et Paul Rascagneres, chercheurs de Talos. « Ils ont utilisé une vulnérabilité 0-day dans Adobe Flash qui était en dehors de leurs capacités précédentes – ils utilisaient des exploits dans les campagnes précédentes, mais jamais un nouvel exploit comme ils l'ont fait maintenant. Ce changement représente une évolution majeure dans la maturité du Groupe 123, nous pouvons maintenant considérer de manière certaine le Groupe 123 comme un groupe hautement qualifié, hautement motivé et hautement sophistiqué. »

Adobe a annoncé qu'il prévoit de publier une version corrigée de Flash cette semaine. Ci-dessous la liste des produits et plateformes affectées :

Produits Versions Plateformes
Adobe Flash Player Desktop Runtime 28.0.0.137 et versions antérieures Windows, Mac et Linux
Adobe Flash Player pour Google Chrome 28.0.0.137 et versions antérieures Windows, Mac, Linux et Chrome OS
Adobe Flash Player pour Microsoft Edge et Internet Explorer 11 28.0.0.137 et versions antérieures Windows 10 et 8.1


Sources : Talos, Adobe

Et vous ?

Qu'en pensez-vous ?
Utilisez-vous encore Adobe Flash Player ?
Croyez-vous que les risques de sécurité liés à Flash sont acceptables par rapport à ses avantages ?
  Discussion forum
13 commentaires
  • transgohan
    Expert éminent
    Qu'en pensez-vous ?
    Ne pourrais-t-ils pas l'avoir acheté au marché noir cette faille zero-day ? Cela diminuerai fortement leurs qualifications.
    Utilisez-vous encore Adobe Flash Player ?
    A part les sites pornos, qui utilise encore flash ? Hum... Comment je le sais ? Comment ça c'est pas encore vendredi !
    Mon plugin flash est désactivé de base dans le navigateur, et concernant les documents (office et compagnie) je ne les ouvre jamais en laissant les macros et autre joyeuseté s'exécuter. Voire je les fuis préférant le format PDF.
    Croyez-vous que les risques de sécurité liés à Flash sont acceptables par rapport à ses avantages ?
    Cela fait longtemps pour moi que Flash ne sert plus à rien. Après je peux me tromper et ne pas connaître tous ses domaines d'applications, mais pour tout ceux auxquels je pense il est facilement remplaçable.
    le 05/02/2018 à 14:35
  • transgohan
    Expert éminent
    Envoyé par RyzenOC
    La faille est elle exploitable sous Office 2010/2013/2016 (la news ne le précise pas) ? si non alors c'est clairement de la mauvaise foi. Car c'est facile de trouver des failles sous Libreoffice 2.0, Windows XP, Linux 1.14....etc.
    La faille n'est pas dans Office mais dans Flash.
    Donc c'est reproductible avec toute suite bureautique qui permet l'ajout d'objet flash.
    le 06/02/2018 à 11:14
  • transgohan
    Expert éminent
    Envoyé par Rapmerd3ur
    Typique de la pensée pauvre, voire ridicule, que de vouloir dénigrer l'autre en le disant moins qualifié que nous. Vous avez quel âge, 13 ans ?
    Je crains de ne pas comprendre...
    Autant ma question avait de l'intérêt (savoir si ce genre de faille se monnaie facilement sur le marché noir), autant la votre, accompagnée de vos affabulation sur ma méthode de pensée qui fait doucement penser à du racisme, est en effet digne d'un manque de réflexion.
    Attention à la modération, conseil que je vous prodigue.
    le 07/02/2018 à 11:28
  • arond
    Membre expérimenté
    Envoyé par Rapmerd3ur
    Typique de la pensée pauvre, voire ridicule, que de vouloir dénigrer l'autre en le disant moins qualifié que nous. Vous avez quel âge, 13 ans ?
    Hum suis je le seul à trouver cette remarque fortement amusante venant de quelqu'un qui se prétend collégien ?
    le 07/02/2018 à 11:31
  • Aiekick
    Membre extrêmement actif
    ou tout simplement hautement financé. des failles zero day ca s'achete aussi
    le 05/02/2018 à 19:03
  • BenaeSan
    Membre régulier
    Idem, il est désactivé par défaut, mais me sert toujours pour Deezer. D’ailleurs je ne comprends toujours pas comment en 2018, Deezer n'est pas passé à une autre technologie que ça. Sauf à part peut être pour une sombre histoire de DRM.
    le 05/02/2018 à 14:46
  • henri_b
    Membre du Club
    Si les gens continuent à ouvrir des fichiers (excel ou autre) reçus dans leur bote mail et envoyé par des inconnus, le problème n'est même pas d'ordre technologique... car des failles il y en a partout, c'est quasi la norme en informatique. Vraiement, le problème est ailleurs...
    le 05/02/2018 à 15:00
  • RyzenOC
    Inactif
    la photo montre Office 2007 qui n'est plus supporté par MS...

    La faille est elle exploitable sous Office 2010/2013/2016 (la news ne le précise pas) ? si non alors c'est clairement de la mauvaise foi. Car c'est facile de trouver des failles sous Libreoffice 2.0, Windows XP, Linux 1.14....etc.

    Pour la Corée du Sud, grande utilisatrice d'activX, je pense que Flash c'est le cadet de ces soucis
    le 05/02/2018 à 17:51
  • Aiekick
    Membre extrêmement actif
    Envoyé par BenaeSan
    Idem, il est désactivé par défaut, mais me sert toujours pour Deezer. D’ailleurs je ne comprends toujours pas comment en 2018, Deezer n'est pas passé à une autre technologie que ça. Sauf à part peut être pour une sombre histoire de DRM.
    deezer a aussi une version desktop
    le 05/02/2018 à 19:04
  • arond
    Membre expérimenté
    Envoyé par RyzenOC
    la photo montre Office 2007 qui n'est plus supporté par MS...

    La faille est elle exploitable sous Office 2010/2013/2016 (la news ne le précise pas) ? si non alors c'est clairement de la mauvaise foi. Car c'est facile de trouver des failles sous Libreoffice 2.0, Windows XP, Linux 1.14....etc.

    Pour la Corée du Sud, grande utilisatrice d'activX, je pense que Flash c'est le cadet de ces soucis
    2007 est encore largement utiliser en entreprise (la où je bosse on a 2000 jolies petits pc sous win7 avec le pack office 2007)
    le 06/02/2018 à 8:38
  Poster une réponse