Mise à jour du 18/04/2011 par Idelways
La faille Zero-day critique de Flash Player, découverte la semaine passée et exploitée via des pièces jointes Word malicieuses, vient d'être colmatée par Adobe pour la plupart des plateformes.
L'entreprise a sorti la version 10.2.159.1 pour Windows, Linux et Mac OS X ainsi que la version 10.0.648.205 spécifique au lecteur Flash intégré au navigateur Chrome. En outre, Adobe recommande aux utilisateurs d'Adobe AIR de passer à la nouvelle version 2.6.19140.
La déclinaison de Flash Player pour Android devrait être patchée à son tour d'ici le 25 avril prochain.
Ces versions corrigent une vulnérabilité de type corruption de mémoire qui permet aux attaquants d'exécuter du code tiers et d’installer un cheval de trois.
D'après la chercheuse en sécurité Mila Parkour, il s'agit toutefois d'une attaque « très sophistiquée » avec des emails extrêmement bien ciblés.
En suivant les traces des messages infectés, le premier email semble remonter au 8 avril. Il a été envoyé à partir d'une boite Hotmail usurpant l'identité de l'Association américaine du barreau, qui dispose d'une lettre d'information régulière.
La fausse lettre d'information ainsi envoyée, contient quatre articles issus — soi-disant — d'un symposium spécialisé dans le droit de concurrence chinois. L'un de ces articles en particulier a été conçu pour attirer fortement l'attention des avocats anglophones intéressés par l'économie et le droit de l'Empire du Milieu, son titre : « Démêler la politique industrielle et politique de la concurrence en Chine ».
Plus techniquement, la composition Flash malicieuse intégrée au document Word exploite directement une corruption de mémoire une fois lancée avec Word 2007 sous Windows 7. Elle y installe une porte dérobée dans le système, qui n'agit que sur la session de l'utilisateur en cours et réapparait après redémarrage ou changement de session.
Cependant, l'ouverture seule du document ne suffit pas à déclencher l'attaque sous Windows XP qui nécessite un minimum d'interaction (un clic sur l'entête et un autre sur l'objet Flash).
Quoi qu'il en soit, le malware remplace le fichier mspmsnsv.dll avec une version boguée et modifie le registre pour lancer le programme aux prochains démarrages de Windows XP.
D'après la chercheuse en sécurité, l'attaque contient de nombreux indices qui pointent du doigt des hackers chinois.
Les systèmes infectés créent des connexions FTP à l'adresse IP 123.123.123.123 appartenant à l'opérateur téléphonique chinois Unicom (pour voler les données des victimes)
La session de connexion contient par ailleurs l'information d'entête User Agent avec la valeur « zh-cn » qui correspond à la langue chinoise. Le CodePage du document Word (qui définit les polices utilisées) correspondent aussi au Chinoix Simplifié sous Windows.
Il s'agit donc probablement d'une attaque sophistiquée destinée à infecter et voler les données des spécialistes occidentaux intéressés ou ayant des intérêts en chine.
Le malware peut toutefois être justement conçu pour faire porter le chapeau à des Chinois et détourner l'attention sur l'identité des véritables criminels...
Source : bulletin de sécurité d'Adobe, blog de Mila Parkour
Et vous ?
Que pensez-vous de l'attaque et de la technique utilisée ?
Qui serait selon-vous derrière cette attaque ?
Adobe corrige la faille Zero-day de Flash Player
Il s'agit d'une attaque par corruption de mémoire "très ciblée et très sophistiquée"
Adobe corrige la faille Zero-day de Flash Player
Il s'agit d'une attaque par corruption de mémoire "très ciblée et très sophistiquée"
Le , par Idelways
Une erreur dans cette actualité ? Signalez-nous-la !