Developpez.com

Plus de 2 000 forums
et jusqu'à 5 000 nouveaux messages par jour

Flash Player : nouvelle faille Zero-day critique
Exploitée via des fichiers Word infectés, permet de prendre le contrôle de la machine

Le , par Idelways, Expert éminent sénior
Mise à jour du 18/04/2011 par Idelways

La faille Zero-day critique de Flash Player, découverte la semaine passée et exploitée via des pièces jointes Word malicieuses, vient d'être colmatée par Adobe pour la plupart des plateformes.

L'entreprise a sorti la version 10.2.159.1 pour Windows, Linux et Mac OS X ainsi que la version 10.0.648.205 spécifique au lecteur Flash intégré au navigateur Chrome. En outre, Adobe recommande aux utilisateurs d'Adobe AIR de passer à la nouvelle version 2.6.19140.

La déclinaison de Flash Player pour Android devrait être patchée à son tour d'ici le 25 avril prochain.

Ces versions corrigent une vulnérabilité de type corruption de mémoire qui permet aux attaquants d'exécuter du code tiers et d’installer un cheval de trois.

D'après la chercheuse en sécurité Mila Parkour, il s'agit toutefois d'une attaque « très sophistiquée » avec des emails extrêmement bien ciblés.

En suivant les traces des messages infectés, le premier email semble remonter au 8 avril. Il a été envoyé à partir d'une boite Hotmail usurpant l'identité de l'Association américaine du barreau, qui dispose d'une lettre d'information régulière.

La fausse lettre d'information ainsi envoyée, contient quatre articles issus — soi-disant — d'un symposium spécialisé dans le droit de concurrence chinois. L'un de ces articles en particulier a été conçu pour attirer fortement l'attention des avocats anglophones intéressés par l'économie et le droit de l'Empire du Milieu, son titre : « Démêler la politique industrielle et politique de la concurrence en Chine ».

Plus techniquement, la composition Flash malicieuse intégrée au document Word exploite directement une corruption de mémoire une fois lancée avec Word 2007 sous Windows 7. Elle y installe une porte dérobée dans le système, qui n'agit que sur la session de l'utilisateur en cours et réapparait après redémarrage ou changement de session.

Cependant, l'ouverture seule du document ne suffit pas à déclencher l'attaque sous Windows XP qui nécessite un minimum d'interaction (un clic sur l'entête et un autre sur l'objet Flash).
Quoi qu'il en soit, le malware remplace le fichier mspmsnsv.dll avec une version boguée et modifie le registre pour lancer le programme aux prochains démarrages de Windows XP.

D'après la chercheuse en sécurité, l'attaque contient de nombreux indices qui montrent du doigt des hackers chinois.

Les systèmes infectés créent des connexions FTP à l'adresse IP 123.123.123.123 appartenant à l'opérateur téléphonique chinois Unicom (pour voler les données des victimes)
La session de connexion contient par ailleurs l'information d'entête User Agent avec la valeur « zh-cn » qui correspond à la langue chinoise. Le CodePage du document Word (qui définit les polices utilisées) correspondent aussi au Chinoix Simplifié sous Windows.

Il s'agit donc probablement d'une attaque sophistiquée destinée à infecter et voler les données des spécialistes occidentaux intéressés ou ayant des intérêts en chine.

Le malware pourrait toutefois être justement conçu pour faire porter le chapeau à des Chinois et détourner l'attention sur l'identité des véritables criminels...

Source : bulletin de sécurité d'Adobe, blog de Mila Parkour

Et vous ?

Que pensez-vous de l'attaque et de la technique utilisée ?
Qui serait selon-vous derrière cette attaque ?

Flash Player : nouvelle faille Zero-day critique
Exploitée via des documents Word infectés, elle permet de prendre le contrôle total de la machine

Adobe vient de reconnaitre une nouvelle faille Zero-day critique de son lecteur Flash et affirme travailler d'arrache-pied pour sortir rapidement un correctif.

Cette faille est activement exploitée par les pirates pour tromper la vigilance des utilisateurs avec des emails de hameçonnage.
Les victimes reçoivent des documents Microsoft Word en pièce jointe, qui contiennent des compositions Flash malicieuses permettant aux attaquants de prendre le contrôle total des machines de leurs victimes en y installant un malware baptisé Zolpiq.

La faille concerne les versions de Flash Player 10.2.153.1 ou antérieures pour Windows, Mac OS, Linux et Solaris et les versions 10.2.154.25 ou antérieurs pour Google Chrome et Android.

La vulnérabilité est aussi présente dans le fichier authplay.dll, utilisé par Adobe Reader et Acrobat X pour intégrer des compositions flash dans les fichiers PDF. L'exploit n'a cependant pas pu être reproduit avec les PDF d’après Adobe. Le mode protégé des dernières versions d'Adobe Reader confine l’exploit et protège le système sous-jacent.

Pour ne rien arranger, seulement une solution antivirus sur 42 a été en mesure de détecter cette vulnérabilité à l'heure de la publication du bulletin de sécurité d'Adobe.

La suite de bureautique Microsoft Office de par sa popularité devient en tout cas une cible de prédilection pour véhiculer et abuser des exploits découverts sur les produits Adobe.

Au mois de mars passé, une autre faille Zero-day tout aussi critique touchait les fichiers tableurs Excel envoyés par email en pièce jointe.
Cette faille avait rendu possible l'intrusion aux systèmes de la compagnie RSA (qui fournit les récepteurs pour les authentifications fortes, dit « Token ») et le vol d'informations critiques.

Adobe devrait sortir un correctif dans la semaine, mais doit surtout revoir vite et en profondeur la sécurité de l'intégration de son lecteur dans la suite de Microsoft.

Source : bulletin de sécurité d'Adobe


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de GCSX_ GCSX_ - Membre confirmé https://www.developpez.com
le 12/04/2011 à 14:59
Je croyais que Flash était sandboxé depuis la 10.2 O_o

Seul Acrobat l'est?
Avatar de nu_tango nu_tango - Membre averti https://www.developpez.com
le 13/04/2011 à 5:37
Salut,

Malgré la protection de type "sandbox" les pirates arrivent à trouver des moyens pour contourner celle-ci malheureusement, ici car le composant flash est embarqué dans un document word

Une analyse du mode d'infection sur technet : http://blogs.technet.com/b/mmpc/arch...loitation.aspx

J'espère qu'Adobe va pouvoir rapidement trouver une solution
Avatar de Idelways Idelways - Expert éminent sénior https://www.developpez.com
le 18/04/2011 à 19:06
Adobe corrige la faille Zero-day de Flash Player
Il s'agit d'une attaque par corruption de mémoire "très ciblée et sophistiquée"

Mise à jour du 18/04/2011 par Idelways

La faille Zero-day critique de Flash Player, découverte la semaine passée et exploitée via des pièces jointes Word malicieuses, vient d'être colmatée par Adobe pour la plupart des plateformes.

L'entreprise a sorti la version 10.2.159.1 pour Windows, Linux et Mac OS X ainsi que la version 10.0.648.205 spécifique au lecteur Flash intégré au navigateur Chrome. En outre, Adobe recommande aux utilisateurs d'Adobe AIR de passer à la nouvelle version 2.6.19140.

La déclinaison de Flash Player pour Android devrait être patchée à son tour d'ici le 25 avril prochain.

Ces versions corrigent une vulnérabilité de type corruption de mémoire qui permet aux attaquants d'exécuter du code tiers et d’installer un cheval de trois.

D'après la chercheuse en sécurité Mila Parkour, il s'agit toutefois d'une attaque « très sophistiquée » avec des emails extrêmement bien ciblés.

En suivant les traces des messages infectés, le premier email semble remonter au 8 avril. Il a été envoyé à partir d'une boite Hotmail usurpant l'identité de l'Association américaine du barreau, qui dispose d'une lettre d'information régulière.

La fausse lettre d'information ainsi envoyée, contient quatre articles issus — soi-disant — d'un symposium spécialisé dans le droit de concurrence chinois. L'un de ces articles en particulier a été conçu pour attirer fortement l'attention des avocats anglophones intéressés par l'économie et le droit de l'Empire du Milieu, son titre : « Démêler la politique industrielle et politique de la concurrence en Chine ».

Plus techniquement, la composition Flash malicieuse intégrée au document Word exploite directement une corruption de mémoire une fois lancée avec Word 2007 sous Windows 7. Elle y installe une porte dérobée dans le système, qui n'agit que sur la session de l'utilisateur en cours et réapparait après redémarrage ou changement de session.

Cependant, l'ouverture seule du document ne suffit pas à déclencher l'attaque sous Windows XP qui nécessite un minimum d'interaction (un clic sur l'entête et un autre sur l'objet Flash).
Quoi qu'il en soit, le malware remplace le fichier mspmsnsv.dll avec une version boguée et modifie le registre pour lancer le programme aux prochains démarrages de Windows XP.

D'après la chercheuse en sécurité, l'attaque contient de nombreux indices qui pointent du doigt des hackers chinois.

Les systèmes infectés créent des connexions FTP à l'adresse IP 123.123.123.123 appartenant à l'opérateur téléphonique chinois Unicom (pour voler les données des victimes)
La session de connexion contient par ailleurs l'information d'entête User Agent avec la valeur « zh-cn » qui correspond à la langue chinoise. Le CodePage du document Word (qui définit les polices utilisées) correspondent aussi au Chinoix Simplifié sous Windows.

Il s'agit donc probablement d'une attaque sophistiquée destinée à infecter et voler les données des spécialistes occidentaux intéressés ou ayant des intérêts en chine.

Le malware peut toutefois être justement conçu pour faire porter le chapeau à des Chinois et détourner l'attention sur l'identité des véritables criminels...

Source : bulletin de sécurité d'Adobe, blog de Mila Parkour

Et vous ?

Que pensez-vous de l'attaque et de la technique utilisée ?
Qui serait selon-vous derrière cette attaque ?
Avatar de Neko Neko - Membre chevronné https://www.developpez.com
le 19/04/2011 à 0:28
décidément ces chinois sont partout!
Offres d'emploi IT
Chef projet big data - pse flotte H/F
Safran - Ile de France - Évry (91090)
Architecte électronique de puissance expérimenté H/F
Safran - Ile de France - Villaroche - Réau
Ingénieur analyste programmeur (H/F)
Safran - Auvergne - Montluçon (03100)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil