+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    2 795
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 2 795
    Points : 60 902
    Points
    60 902

    Par défaut Adobe corrige une vulnérabilité de type zero-day dans Flash Player

    Adobe corrige une vulnérabilité de type zero-day dans Flash Player,
    qui était activement utilisée depuis mars par un groupe de pirates

    Jeudi dernier, Adobe a publié un correctif pour colmater une vulnérabilité de type zero-day dans Flash Player dont se sont servis des attaquants. Les chercheurs en sécurité de Kaspersky, qui ont découvert cette faille, pensent qu’elle a été exploitée par un groupe de pirates qui est dans son radar et qui se fait appeler ScarCruft.

    « ScarCruft est un groupe APT relativement nouveau ; ses victimes ont été observées en Russie, au Népal, en Corée du Sud, en Chine, en Inde, au Koweït et en Roumanie. Le groupe dispose de plusieurs opérations en cours, en utilisant de multiples exploits - deux d’Adobe Flash et une de Microsoft Internet Explorer ».

    Pour rappel, le sigle APT désigne ce qu’on appelle les « menaces persistantes avancées » (en anglais, Advanced Persistent Threat). Les APT peuvent être vus de deux manières : les APT en tant qu’attaques et les APT en tant que personnes. D’un côté une APT désigne une cyberattaque extrêmement précise, d’un autre, elle désigne un groupe, souvent sponsorisé par un État ou par un autre groupe, qui est responsable de ces attaques ciblées. Le but d’une attaque APT est de compromettre un ordinateur sur lequel on peut trouver des informations de valeur. Il faut cependant préciser que, si une attaque APT vise une entreprise, il est inutile d’être haut placé pour en être la victime : presque tout le monde disposant d’un accès au réseau de l’entreprise est une victime potentielle dans la mesure où l’attaque a besoin d’un point de départ pour compromettre l’entreprise.

    En 2013 par exemple, une campagne d’espionnage APT appelée « NetTraveler » qui pourrait avoir existé depuis près de dix ans dans le but de cibler des diplomates, des sous-traitants militaires, et des agences gouvernementales dans plus de 40 pays. Cette attaque, comme de nombreuses attaques APT a commencé avec des attaques d’hameçonnage qui exploitaient des vulnérabilités de Microsoft connues. Les pirates ont fini par déployer un outil capable d’extraire des systèmes d’information, de mettre en place des malwares enregistreurs de frappes, de voler des documents Office tels que des fichiers Word, Excel et PowerPoint, et même de modifier certaines configurations afin de voler des designs Corel Draw, des fichiers AutoCAD et d’autres types de fichiers utilisés dans le domaine militaire. Cette attaque a être considérée comme une menace avancée persistante, car il semble qu’elle aurait seulement ciblé des individus et des organisations dont les ordinateurs pourraient contenir des informations de valeur.

    Operation Daybreak, la campagne de piratage se servant d’un exploit zero-day non connu de Flash Player, a été amorcée en mars 2016. « Il est également possible que le groupe ait déployé un autre exploit zero-day, CVE-2016-0147, qui a été patché en avril », ont précisé les chercheurs qui indiquent que cette attaque semble viser de hauts profils via une technique d’hameçonnage.

    Les chercheurs notent que la façon dont ont été exploitée les victimes n’est pas claire : « bien que le vecteur EXACT demeure inconnu, les cibles semblent avoir reçu un lien malveillant qui pointe vers un site web piraté où un kit d’exploit est hébergé ». Le serveur web piraté qui héberge le kit d’exploit est associé à l’APT ScarCruft et certains détails, comme l’utilisation de la même infrastructure et de la même façon de cibler, ont fait penser aux chercheurs que l’Operation Daybreak est l’œuvre de ScarCruft.

    « Le groupe AP ScarCruft est relativement un nouvel entrant, et s’est débrouillé pour rester sous les radars pendant un moment. En général, leur travail est très professionnel et bien fait. Leurs outils et techniques sont bien au-dessus de la moyenne. Avant la découverte de l'Operation Daybreak, nous avons observé l’APT ScarCruft lancer une série d'attaques dans l'Operation Erebus. L’Operation Erebus exploite un autre exploit Flash Player exploit (CVE-2016-4117) grâce à l'utilisation d’attaques de point d’eau », ont expliqué les chercheurs.

    Dans le cadre de l’Operation Daybreak, le kit d’exploit effectue quelques vérifications relatives au navigateur internet employé par la victime avant de le rediriger vers un serveur contrôlé par les attaquants et qui se trouve en Pologne. Le processus d’exploitation consiste en trois objets Flash. L’objet Flash qui déclenche la vulnérabilité Adobe Flash est localisé dans le second SWF délivré à la victime. Par la suite, à la fin de la chaîne d’exploitation, le serveur envoie un fichier PDF légitime à l’utilisateur « China.pdf » dont le texte parle des désagréments entre la Chine et « le Nord » concernant les programmes nucléaires et la démilitarisation.

    Wolfgang Kandek, le Directeur Technologique du spécialiste en sécurité cloud Qualys, a avancé que « c’est le troisième mois d’affilé que nous voyons un zero-day dans Flash, ce qui le rend probablement le logiciel le plus ciblé des endpoints de nos entreprises ».

    Mais les chercheurs de Kaspersky ont tenu à féliciter Adobe pour avoir vite colmaté la faille dès qu’elle a été connue : « Adobe a fait du bon travail en implémentant ces nouvelles mesures d’atténuation pour rendre l’exploitation de Flash Player encore plus difficile. Cependant, des acteurs malveillants ingénieux de la trempe de ScarCruft vont probablement continuer de déployer des exploits zero-day contre leurs cibles de haut profil ».

    Source : blog Securelist (Operation Daybreak), Adobe (bulletins de sécurité), blog Qualys

    Voir aussi :

    le forum Flash
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre actif
    Homme Profil pro
    Développeur Web
    Inscrit en
    avril 2009
    Messages
    79
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : avril 2009
    Messages : 79
    Points : 253
    Points
    253

    Par défaut

    Bref, rien de neuf sous le Soleil.

    On apprend de nouveau que les plugins navigateurs de type NPAPI (et PPAPI) sont de véritables passoires.

  3. #3
    Membre confirmé Avatar de zulad
    Homme Profil pro
    creatif
    Inscrit en
    juin 2007
    Messages
    691
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : Belgique

    Informations professionnelles :
    Activité : creatif

    Informations forums :
    Inscription : juin 2007
    Messages : 691
    Points : 482
    Points
    482

    Par défaut

    On dirait bien depuis le temps que ça dure qu'on n'arrivera pas a sécuriser des plugins.

    Je continue d'être frustré, étant dessinateur plus que codeur je crois qu'il n'y aura jamais d'émergence de mon vivant pour un web 2 tel que la promesse avait eu lieue avec flex et flash dans les années 2000. Les superbes sites et autres ... maintenant c'est une affaire d'ingénieurs. Allez hop, j'en ai marre, je vais faire mon site out of browser en flash sur adobe air. Là je pourrai m'éclater...

    Le seul problème c'est que ce ne sera plus vraiment un site internet Tant pis, je déserte le web, c'est devenu une plaie ouverte bourré d'interdits. Je vais essayer de lancer cette tendance de site adobe air à télécharger. En espérant qu'il y ai moyen de charger du contenu en ligne par web service ou en rest.
    Une tortue peut dormir 6 heure en apnée ... hihihi

Discussions similaires

  1. Les failles des navigateurs de type zero-day ont connu une croissance
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 0
    Dernier message: 26/03/2015, 17h25
  2. Une faille zero day dans Flash Player menace Windows, Mac OS X et Linux
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 6
    Dernier message: 05/05/2014, 13h17
  3. Adobe corrige une faille critique dans Flash
    Par Francis Walter dans le forum Sécurité
    Réponses: 0
    Dernier message: 06/02/2014, 20h09
  4. Une entreprise découvre un zero-day multiplateforme sur les navigateurs
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 15
    Dernier message: 23/06/2013, 02h00
  5. Microsoft confirme une faille Zero-Day dans IE8
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 3
    Dernier message: 10/05/2013, 09h17

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo