Posté le février 6, 2018 à 7:38

La nouvelle faille d’Adobe Zero-Day cause problèmes

Les hackers de la péninsule coréenne utilisent une vulnérabilité zero-day dans Adobe Flash Player pour prendre le contrôle total des systèmes utilisateur.

Adobe Flash Player est très populaire comme étant le plus vulnérable des logiciels que les gens ont sur leurs systèmes. Au cours des dernières années, de nombreuses vulnérabilités dans Flash ont amené les chercheurs à demander aux utilisateurs de désinstaller complètement l’application Flash de leurs systèmes. Quand vous pensiez que les choses s’étaient calmées, une nouvelle vulnérabilité zero-day était utilisée par un groupe pour prendre le contrôle des systèmes utilisateurs.

Le groupe Talos de Cisco Systems a déclaré que CVE-2018-4877 est activement utilisé par un groupe qui cible principalement les utilisateurs de la péninsule coréenne. Talos a déclaré que le groupe a déjà utilisé les failles et les vulnérabilités d’Adobe pour cibler les utilisateurs. Cependant, leur rapport indique que c’est la première fois que le groupe 123 utilise une vulnérabilité zero-day pour orchestrer une attaque. Ils ont ajouté que l’attaque la plus récente du groupe 123 montre leur intention et le fait qu’ils grandissent et deviennent une force à prendre en compte.

Cette nouvelle vulnérabilité est présente dans Adobe Flash 28.0.0.137, qui est la dernière version de Flash. Cependant, les chercheurs ont averti que les anciennes versions sont tout aussi sensibles à cette attaque que la dernière version. Le code d’attaque en circulation se trouve dans un fichier Microsoft Excel. L’objet flash malveillant à l’intérieur de ce fichier est déclenché et installe ROKRAT qui est un outil d’administration à distance. Les chercheurs de Talos suivent ROKRAT depuis plus d’un an maintenant, et ils ont un historique complet du groupe 123 et de leur mode de fonctionnement.

La plupart de leurs activités sont limitées dans la péninsule coréenne, avec des cibles appartenant principalement à la Corée du Sud. Les chercheurs de Talos disent également que les membres du groupe 123 parlent tous parfaitement coréen et connaissent très bien la région. Mais Talos n’a pas commenté si ce groupe appartient à la Corée du Nord. Cette nouvelle a été donnée par un chercheur sud-coréen via Twitter, déclarant que cette faille de Flash est un produit nord-coréen. Mais il a refusé toutes questions concernant sa déclaration, donc la rumeur et la spéculation sont tout ce que nous avons.

Flash 0day vulnerability that made by North Korea used from mid-November 2017. They attacked South Koreans who mainly do research on North Korea. (no patch yet) pic.twitter.com/bbjg1CKmHh

— Simon Choi (@issuemakerslab) February 1, 2018

Cette attaque met en évidence la faiblesse d’Adobe Flash et la vulnérabilité des systèmes utilisateurs aux attaques ciblées. De nombreux incidents se sont produits au cours des dernières années où les utilisateurs ont été terriblement affectés à cause d’une faille Adobe Flash. Alors que la société fait de son mieux pour corriger les défauts, de nouveaux arrivent avec une fréquence alarmante. Adobe a annoncé qu’il corrigerait cette vulnérabilité zero-day cette semaine, mais les chercheurs demandent à nouveau aux utilisateurs de ne plus utiliser l’application Flash sur leurs systèmes.

Si vous utilisez un site Web ou un service nécessitant Flash, vous pouvez utiliser la version personnalisée de Flash de Google Chrome. Cela s’exécute dans un sandbox de sécurité pour empêcher votre système d’infections, et vous pouvez choisir de l’éteindre pour des sites Web spécifiques. Alors que la version corrigée sortira d’ici le 5 février, vous devriez plutôt cesser d’utiliser l’application pour vous protéger des problèmes futurs.