Adobe corrige une vulnérabilité de type zero-day dans Flash Player
Adobe corrige une vulnérabilité de type zero-day dans Flash Player,
qui était activement utilisée depuis mars par un groupe de pirates
Jeudi dernier, Adobe a publié un correctif pour colmater une vulnérabilité de type zero-day dans Flash Player dont se sont servis des attaquants. Les chercheurs en sécurité de Kaspersky, qui ont découvert cette faille, pensent qu’elle a été exploitée par un groupe de pirates qui est dans son radar et qui se fait appeler ScarCruft.
« ScarCruft est un groupe APT relativement nouveau ; ses victimes ont été observées en Russie, au Népal, en Corée du Sud, en Chine, en Inde, au Koweït et en Roumanie. Le groupe dispose de plusieurs opérations en cours, en utilisant de multiples exploits - deux d’Adobe Flash et une de Microsoft Internet Explorer ».
Pour rappel, le sigle APT désigne ce qu’on appelle les « menaces persistantes avancées » (en anglais, Advanced Persistent Threat). Les APT peuvent être vus de deux manières : les APT en tant qu’attaques et les APT en tant que personnes. D’un côté une APT désigne une cyberattaque extrêmement précise, d’un autre, elle désigne un groupe, souvent sponsorisé par un État ou par un autre groupe, qui est responsable de ces attaques ciblées. Le but d’une attaque APT est de compromettre un ordinateur sur lequel on peut trouver des informations de valeur. Il faut cependant préciser que, si une attaque APT vise une entreprise, il est inutile d’être haut placé pour en être la victime : presque tout le monde disposant d’un accès au réseau de l’entreprise est une victime potentielle dans la mesure où l’attaque a besoin d’un point de départ pour compromettre l’entreprise.
En 2013 par exemple, une campagne d’espionnage APT appelée « NetTraveler » qui pourrait avoir existé depuis près de dix ans dans le but de cibler des diplomates, des sous-traitants militaires, et des agences gouvernementales dans plus de 40 pays. Cette attaque, comme de nombreuses attaques APT a commencé avec des attaques d’hameçonnage qui exploitaient des vulnérabilités de Microsoft connues. Les pirates ont fini par déployer un outil capable d’extraire des systèmes d’information, de mettre en place des malwares enregistreurs de frappes, de voler des documents Office tels que des fichiers Word, Excel et PowerPoint, et même de modifier certaines configurations afin de voler des designs Corel Draw, des fichiers AutoCAD et d’autres types de fichiers utilisés dans le domaine militaire. Cette attaque a être considérée comme une menace avancée persistante, car il semble qu’elle aurait seulement ciblé des individus et des organisations dont les ordinateurs pourraient contenir des informations de valeur.
Operation Daybreak, la campagne de piratage se servant d’un exploit zero-day non connu de Flash Player, a été amorcée en mars 2016. « Il est également possible que le groupe ait déployé un autre exploit zero-day, CVE-2016-0147, qui a été patché en avril », ont précisé les chercheurs qui indiquent que cette attaque semble viser de hauts profils via une technique d’hameçonnage.
Les chercheurs notent que la façon dont ont été exploitée les victimes n’est pas claire : « bien que le vecteur EXACT demeure inconnu, les cibles semblent avoir reçu un lien malveillant qui pointe vers un site web piraté où un kit d’exploit est hébergé ». Le serveur web piraté qui héberge le kit d’exploit est associé à l’APT ScarCruft et certains détails, comme l’utilisation de la même infrastructure et de la même façon de cibler, ont fait penser aux chercheurs que l’Operation Daybreak est l’œuvre de ScarCruft.
« Le groupe AP ScarCruft est relativement un nouvel entrant, et s’est débrouillé pour rester sous les radars pendant un moment. En général, leur travail est très professionnel et bien fait. Leurs outils et techniques sont bien au-dessus de la moyenne. Avant la découverte de l'Operation Daybreak, nous avons observé l’APT ScarCruft lancer une série d'attaques dans l'Operation Erebus. L’Operation Erebus exploite un autre exploit Flash Player exploit (CVE-2016-4117) grâce à l'utilisation d’attaques de point d’eau », ont expliqué les chercheurs.
Dans le cadre de l’Operation Daybreak, le kit d’exploit effectue quelques vérifications relatives au navigateur internet employé par la victime avant de le rediriger vers un serveur contrôlé par les attaquants et qui se trouve en Pologne. Le processus d’exploitation consiste en trois objets Flash. L’objet Flash qui déclenche la vulnérabilité Adobe Flash est localisé dans le second SWF délivré à la victime. Par la suite, à la fin de la chaîne d’exploitation, le serveur envoie un fichier PDF légitime à l’utilisateur « China.pdf » dont le texte parle des désagréments entre la Chine et « le Nord » concernant les programmes nucléaires et la démilitarisation.
Wolfgang Kandek, le Directeur Technologique du spécialiste en sécurité cloud Qualys, a avancé que « c’est le troisième mois d’affilé que nous voyons un zero-day dans Flash, ce qui le rend probablement le logiciel le plus ciblé des endpoints de nos entreprises ».
Mais les chercheurs de Kaspersky ont tenu à féliciter Adobe pour avoir vite colmaté la faille dès qu’elle a été connue : « Adobe a fait du bon travail en implémentant ces nouvelles mesures d’atténuation pour rendre l’exploitation de Flash Player encore plus difficile. Cependant, des acteurs malveillants ingénieux de la trempe de ScarCruft vont probablement continuer de déployer des exploits zero-day contre leurs cibles de haut profil ».
Source : blog Securelist (Operation Daybreak), Adobe (bulletins de sécurité), blog Qualys
Voir aussi :
:fleche: le forum Flash
