Adobe vient de sortir un patch afin de corriger une faille critique découverte dans son plug-in Flash. La vulnérabilité référencée sous le numéro CVE-2015-3113 expose les utilisateurs Flash à un accès non désiré à leurs terminaux exécutant Internet Explorer avec Windows 7 et les versions antérieures, ainsi que Firefox sur Windows XP.
L’entreprise de sécurité informatique FireEye donne plus d’informations sur cette faille découverte. En effet, sur son site la firme explique que cette vulnérabilité zero-day a été exploitée par un groupe de pirates informatiques baptisé APT3.
Pour parvenir à ses fins, le groupe a débuté son forfait en lançant une campagne de phishings contre plusieurs organisations dans plusieurs domaines d’activités tels que l’aéronautique et la défense, la construction et l’ingénierie, les télécommunications et le transport.
Les mails infectés qui ont été consultés ont automatiquement redirigé les victimes vers un serveur corrompu. Ci-dessus, un aperçu de l’email envoyé aux victimes.
Save between $200-450 by purchasing an Apple Certified Refurbished iMac through this link. Refurbished iMacs come with the same 1-year extendable warranty as new iMacs. Supplies are limited, but update frequently.
Don' t hesitate. . .>Go to Sale
Le clic sur ">Go to Sale" renvoyait au lien défini comme suit:
hxxp://<subdomain>.<legitdomain>.<TLD>/<directory>/<alphanumericID>.html
Comme on peut le constater, l’email d’hameçonnage n’est pas monstrueusement sophistiqué.
Une fois le clic obtenu et la redirection effectués vers le serveur corrompu, les victimes sont profilées avec des scripts JavaScript hébergés sur ce serveur. À partir de cette étape, les attaquants, qui seraient basés en Chine selon FireEye, injectent une porte dérobée personnalisée appelée SHOTPUT ou CookieCutter dans les systèmes des victimes. Cela se fait en leur fournissant des fichiers Adobe Flash Player SWF et FLV infectés qu’ils téléchargent.
La firme de sécurité soutient également que dès qu’APT3 a accès à un réseau, ils sont extrêmement dynamiques et furtifs afin de maintenir leur accès et empêcher le suivi de leurs activités. En outre, elle souligne que le groupe n’est pas à son premier forfait. Il compterait même à son actif de nouveaux exploits zeroday basés sur les navigateurs Internet Explorer et Firefox ainsi que le plug-in Adobe Flash Player. FireEye qui traque ses activités depuis un bout de temps n’est pas encore parvenu à remonter les pistes en raison des infrastructures techniques assez sophistiquées utilisées pour infecter les systèmes.
Adobe ayant pris connaissance de cette faille affirme que celle-ci est « activement exploitée par le biais d’attaques limitées et ciblées ». Toutefois, même s’il n’y a que Windows et Firefox qui sont cités comme cibles, Adobe recommande, pour tous les systèmes que ce soit pour Windows, Mac, Linux, Chrome, Internet Explorer sur Windows 8, la mise à jour systématique du plug-in Flash vers la version qui vient d’être éditée.
Pour Windows et Mac, la dernière version a pour numéro de référence 18.0.0.194. Sous Linux, elle porte le code 11.2.202.468. Pour les navigateurs tels que Google Chrome et Internet Explorer sur Windows 8 intégrant de fait le plug-in, les mises à jour se feront automatiquement vers la version 18.0.0.194. Par contre, les utilisateurs d’Adobe Flash Player Extended Support devront faire la migration du plug-in vers la version 13.0.0.296.
Source : FireEye, Adobe
Et vous ?
Que pensez-vous de cette faille corrigée ?
Pourra-t-elle vous faire abandonner ce plug-in ?
Ou trouvez-vous rassurant la veille d’Adobe pour la détection des failles dans son lecteur ?
Adobe publie un correctif d'urgence pour une faille zero day dans Flash
Qui serait exploitée par des pirates chinois
Adobe publie un correctif d'urgence pour une faille zero day dans Flash
Qui serait exploitée par des pirates chinois
Le , par Olivier Famien
Une erreur dans cette actualité ? Signalez-nous-la !