APT28 vs Flash Player – Les hackers attaquent, un patch d’urgence est publié

1
152

A priori à la solde de la Russie, un groupe de hackers d’élites baptisé APT28 exploite une faille Flash Player 0-Day corrigée en urgence par un patch combinée avec une vulnérabilité 0-Day Windows afin de mener des cyberattaques d’envergures.

La semaine dernière, Adobe a diffusé une mise à jour de Flash Player d’urgence afin de corriger plus d’une vingtaine de vulnérabilités de sécurité découvertes, dont certaines étant activement exploitées par les pirates informatiques. Parmi ces vulnérabilités, une faisait l’objet d’une attaque active et destructrice qu’Adobe a passé sous couvert afin de ne pas ébruiter l’affaire jugée comme critique.

FireEye a fini par publier un bulletin informatif où il est fait mention du récent bulletin de sécurité d’Adobe et de la vulnérabilité identifiée en tant que CVE-2015-3043 qui est activement exploitée au sein de l’opération “RussianDoll“. L’attaque décrite s’appuie également sur une vulnérabilité 0-Day présente dans Windows (CVE-2015-1701), toujours non corrigée à ce jour, Microsoft n’ayant pas encore proposé de patch pour cette faille lors de son patch Tuesday d’avril…

Néanmoins, notons que la seule application du patch d’Adobe Flash Player suffit à rendre l’attaque inopérante. Le mode opératoire de l’attaque repose sur une action de la victime potentielle sur un lien renvoyant vers un site Web contrôlé par l’attaquant. Du code JavaScript y est alors exécuté pour initier l’exploit Flash qui va tirer parti de la vulnérabilité CVE-2015-3043 et exécuter un shellcode malveillant. Ce dernier télécharge et exécute la charge utile qui exploite la vulnérabilité d’élévation de privilèges locale de Windows (CVE-2015-1701) pour voler un jeton d’accès (token).

Cette attaque serait l’œuvre d’un groupe professionnel dénommé APT28, qui serait connu pour être à la solde de la Russie dans le but de dérober des données sensibles en ciblant en particulier des agences gouvernementales ou de sécurité. FireEye parle d’une opération RussianDoll et Reuters évoque des cibles diplomatiques aux États-Unis et ailleurs. A vos patchs !

 

Source : GNT

Les commentaires sont fermés.