Le correctif de la 2e vulnérabilité 0jour dans Flash, disponible via la mise à jour automatique

Samedi, Adobe a commencé à réparer une vulnérabilité 0jour dans Flash Player, celle qui avait été reprise récemment dans le kit d’exploitation Angler. C’est déjà le deuxième correctif critique pour ce produit découvert en quelques jours. Le premier correctif a été diffusé en urgence ce jeudi afin d’éliminer une vulnérabilité inconnue jusqu’à présent et déjà attaquée pour pouvoir contrôler la protection de Windows.

Cette faille, désormais éliminée, nommée CVE-2015-0311, a été découverteš par le Français Kafeine, un chercheur connu dans le domaine des kits d’exploitation et autres malwares, utilisés pour organiser des attaques ciblées et autres actions criminelles. Ce bogue touchait les versions16.0.0.287 et antérieures de Flash, sous Windows et Mac OS X. D’après Adobe, cette faille est déjà utilisée dans le cadre d’attaques de type Drive-by contre Internet Explorer et Firefox, sous Windows 8.1 et antérieur.

"L’exploitation réussie de cette faille entraîne un crash et peut permettre à l’attaquant de prendre les commandes du système vulnérable" peut-on lire dans un bulletin d’informations de l’éditeur.

Le correctif est diffusé pour l’instant via le processus de mise à jour automatique de Flash Player sur ordinateurs de bureau. La version corrigée du logiciel correspond au numéro 16.0.0.296. Le bulletin fournit également les informations suivantes : "Adobe va proposer une mise à jour téléchargeable manuellement au début de la semaine du 26 janvier. Nous travaillons également avec nos distributeurs pour garantir la mise jour dans Google Chrome et Internet Explorer 10 et 11".

Aucune nouvelle information n’a été diffusée à ce jour sur le site de l’éditeur. Johannes Ullrich, chercheur en sécurité informatique de l’institut SANS, a déclaré : "Jusqu’à présent, Adobe considère que la version la plus récente est la version 16.0.0.287. La version 16.0.0.296 peut être téléchargée par ceux qui vérifient manuellement la présence de mises à jour via Flash".

La présence de CVE-2015-0311 dans Angler est très inquiétante car cela augmente les chances de réussite de l’attaque contre les systèmes sans le correctif. Le seul élément rassurant est que ce nouveau code d’exploitation ne figure que dans certaines versions d’Angler selon Kafeine. La semaine dernière, Kafeine annonçait via Twitter que le groupe à l’origine de ce kit d’exploitation avait modifié le code et que désormais, il pouvait attaquer Firefox, ainsi qu’Internet Explorer 11 avec tous ses correctifs sous Windows 8.1. A l’heure actuelle, ce code d’exploitation Flash 0jour est utilisé pour charger Bedep, un malware qui permet aux escrocs de gagner de l’argent via les publicités en ligne.

Les experts de Cisco estiment quant à eux que la tendance à l’exploitation de faille Flash 0jour va se maintenir. "Ce groupe introduit ces codes d’exploitation dans le kit d’exploitation Angler avant la publication des bogues" soulignent les chercheurs qui ont présenté le rapport Cisco sur le blog de la société. "Associés à des méthodes de propagation d’Angler populaires comme la publicité malveillante, ces codes d’exploitation 0jour possèdent encore un énorme potentiel d’infection à grande échelle."š

D’après les observations de Cisco, le nouveau code d’exploitation Flash dans Angler vise uniquement IE et Firefox. D’autres types de codes d’exploitation sont utilisés pour Chrome. Le nombre d’attaques impliquant Angler a sensiblement augmenté le 20 janvier.

Le rapport de Cisco signale que "bien que ce pic traduit une augmentation de l’activité liée à Angler, la part de ces attaques dans l’ensemble du trafic malveillant reste modeste. Les données télémétriques ont permis d’identifier les domaines d’où sont activement diffusés les nouveaux codes d’exploitation ; ils sont presque tous associées au même service d’enregistrement. Il semblerait que les attaquants s’intéressent avant tout à la possibilité de pouvoir enregistrer un domaine rapidement et à la rotation élevée des domaines. Malgré le changement fréquent de domaines, les individus malveillants utilisent uniquement deux adresses IP principales (46[.]105.251.7 и 94[.]23.247.180)".

D’après Cisco, ces domaines d’exploitation ont une durée de vie de 24 heures et les opérateurs d’Angler enregistrent chaque jour de nouveaux domaines.

Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *