
Les chercheurs de Kaspersky ont trouvé des variantes sur l’analyse des deux échantillons. Les deux échantillons comportaient chacun deux shellcode. Le premier shellcode était similaire dans les deux exploits ; relativement court, il servait à préparer la mémoire pour le succès du second shellcode. « Le second shellcode du deuxième échantillon est inhabituel », explique Vyacheslav Zakorzhevsky, chercheur en sécurité au Kaspersky Lab. « Il va chercher sur une adresse DLL pour flash10p.ocx une interaction avec Cisco MeetingPlace Express Add-In version 5×0. ». Ce module est intégré par des participants de web conférence pour voir des documents et des images. « Nous sommes sûrs que toutes ces manœuvres ont été mises en place afin de mener des activités malicieuses contre un groupe spécifique d’utilisateurs sans éveiller l’attention des solutions de sécurité » a-t-il expliqué en parlant des utilisateurs de solutions Adobe et Cisco.
Le conteneur de l’attaque est un fichier vidéo flash (movie.swf) activable par un utilisateur. Tout d’abord le code prépare la mémoire dynamique pour l’exploitation de la faille. Il identifiera par la suite l’OS pour pousser une version modifiée du composant Pixel Bender. Même si le problème est particulièrement sensible sur Windows, Linux et OS X ne sont pas épargnés.
Adobe a donc déployé en urgence une mise à jour de son lecteur Flash Player qui concerne les versions 13.0.0.182 et antérieures pour Windows, 13.0.0.201 et antérieures pour Mac OS, ainsi que les versions 11.2.202.350 et antérieures pour Linux. Pour les internautes qui utilisent les navigateurs Chrome ou IE 10 et 11 avec le lecteur Flash Player 13.0.0.182, la mise à jour sera faite automatiquement. Les autres devront effectuer rapidement leur mise à jour depuis le site d'Adobe qui propose un correctif de sécurité.
Source : blog Kaspersky, Adobe
Et vous ?
