Une autre vulnérabilité Adobe Flash Zero-day découverte
Les cybercriminels ont trouvé une nouvelle astuce pour utiliser Adobe Flash pour lancer des attaques malveillantes. Récemment, des chercheurs ont découvert un autre jour zéro[1] faille qui a été exploitée au Moyen-Orient via un document Microsoft Excel.[2]
Le document malveillant a été repéré en train de se propager via des e-mails. Cependant, il n'inclut aucun contenu malveillant à l'intérieur. Cependant, lorsqu'une cible ouvre un fichier Excel, elle appelle le serveur d'accès distant pour télécharger du contenu malveillant afin d'exploiter la faille dans Adobe Flash. Cette technique permet d'éviter la détection antivirus.
Les chercheurs supposent que cette attaque a eu lieu au Qatar :
Qatar parce que le nom de domaine utilisé par les attaquants était « people.dohabayt[.]com », qui inclut « Doha », la capitale du Qatar. Le domaine est également similaire à un site Web de recrutement légitime au Moyen-Orient « bayt[.]com ».[3]
Le fichier Excel malveillant comprenait également du contenu en langue arabe. Il semble que les principales cibles pourraient être les employés des ambassades, tels que les ambassadeurs, les secrétaires et autres diplomates. Heureusement, la faille a été corrigée et les utilisateurs sont invités à installer les mises à jour (CVE-2018-5002).
La technique sophistiquée permet d'exploiter la vulnérabilité Flash sans être détectée par l'antivirus
Les pièces jointes malveillantes peuvent être facilement identifiées par les principaux programmes de sécurité. Cependant, cette fois, les attaquants ont trouvé un moyen de contourner la détection car le fichier lui-même n'est pas dangereux.
Cette technique permet d'exploiter Flash depuis un serveur distant lorsqu'un utilisateur ouvre un fichier Excel compromis. Par conséquent, les programmes de sécurité ne peuvent pas marquer ce fichier comme dangereux car il ne contient en fait pas de code malveillant.
Pendant ce temps, ce fichier demande un Shock Wave Flash (SWF) malveillant[4] fichier qui est téléchargé à partir du domaine distant. Ce fichier est utilisé pour installer et exécuter un code shell malveillant responsable du chargement du cheval de Troie. Selon les chercheurs, ce cheval de Troie est le plus susceptible d'ouvrir la porte dérobée sur la machine affectée.
De plus, la communication entre un appareil ciblé et le serveur distant du pirate informatique est sécurisée grâce à une combinaison de chiffrements symétriques AES et RSA asymétriques :
«Pour déchiffrer la charge utile des données, le client déchiffre la clé AES chiffrée à l'aide de sa clé privée générée de manière aléatoire, puis déchiffre la charge utile des données avec la clé AES déchiffrée.
La couche supplémentaire de cryptographie à clé publique, avec une clé générée aléatoirement, est cruciale ici. En l'utilisant, il faut soit récupérer la clé générée aléatoirement, soit casser le cryptage RSA pour analyser les couches suivantes de l'attaque. » [Source: Icebrg]
Adobe a publié une mise à jour pour corriger cette faille critique
Adobe a déjà publié une mise à jour pour Adobe Flash Player pour Windows, macOS, Linux et Chrome OS. La vulnérabilité critique a été détectée dans les versions 29.0.0.171 et antérieures du programme. Par conséquent, les utilisateurs sont invités à mettre à jour immédiatement vers la version 30.0.0.113.
Adobe a publié CVE-2018-5002[5] patch qui délivre un avertissement, puis un utilisateur ouvre un fichier Excel obscurci. L'invite avertit des dangers potentiels pouvant survenir après le chargement du contenu distant.
L'installation des mises à jour est possible via les services de mise à jour du programme ou depuis le centre de téléchargement officiel d'Adobe Flash Player. Nous souhaitons vous rappeler que les fenêtres contextuelles, les publicités ou les sources de téléchargement tierces ne sont pas un endroit sûr pour installer les mises à jour.