Une vulnérabilité critique activement exploitée sur Adobe Flash Player

Adobe a publié un bulletin de sécurité corrigeant deux vulnérabilités dont l'une est activement exploitée. La vulnérabilité est qualifiée de critique par Adobe, la seconde est qualifiée d'importante. L'exploitation de la vulnérabilité critique pourrait permettre à un attaquant d’exécuter du code arbitraire, avec les privilèges de l'utilisateur courant. Une attaque de ce type peut être réalisée à distance, ne nécessite pas de privilège particulier mais requiert l'interaction avec un utilisateur. L'impact estimé sur l'intégrité, la confidentialité et la disponibilité des données est élevé.

  • La première vulnérabilité est une faille de type "jour-zéro" (0day) qui a été découverte par les chercheurs en sécurité de 360 Core Security. Le 29 novembre, ceux-ci ont pris connaissance d'un document Word contenant un code d’exploitation pour la vulnérabilité. Ce document a été utilisé lors d'une attaque fin novembre, et diffusé via une campagne d'hameçonnage (phishing). Sous l'apparence d'un questionnaire de santé, il contient en réalité un objet Flash (.swf) malicieux qui lors de l'ouverture du document va exploiter la faille et exécuter une charge utile (payload) permettant l’exécution de code arbitraire. Elle se présente comme un exécutable Windows sous l'apparence d'un exécutable de l'éditeur NVIDIA. Celui-ci est conçu pour maintenir un accès persistant sur la machine afin de communiquer avec un serveur distant.
  • La seconde vulnérabilité est de criticité moindre que la précédente. Son exploitation permettrait de réaliser une élévation de privilège via le chargement d'une bibliothèque logicielle Windows (DLL) malicieuse.

Adobe a publié plusieurs correctifs pour Flash Player le 5 décembre sur son site, pour les systèmes Windows, Linux, macOS et Chrome OS. Un code d'exploitation a également été rendu public sur la plateforme GitHub. Du fait de sa criticité, de la publication du code et de son exploitation, les utilisateurs sont invités à appliquer les correctifs pour cette vulnérabilité le plus rapidement possible. Afin de se protéger contre d'éventuelles attaques similaires à celles détectées par les chercheurs, il est également rappelé que les archives fournies en pièce jointe de mails provenant de sources non sûres ne doivent pas être ouvertes.

Détails techniques : 

La vulnérabilité critique s'est vue assigner le numéro CVE-2018-15982. Les attaquants ont procédé de la manière suivante :

  • La victime reçoit une archive RAR contenant un document Word, la charge utile exploitant la vulnérabilité ainsi qu'un cheval de Troie ;
  • Lorsque le document Word est ouvert, la vulnérabilité Flash est exploitée ;
  • Après l'exploitation de cette vulnérabilité, le logiciel de décompression va ensuite exécuter la charge utile finale contenue dans l'archive.

Cette vulnérabilité est due à une utilisation de la mémoire après sa libération. Le code d'exploitation instancie dans un premier temps un nombre important de chaînes de caractère lié à un objet Flash de type "Metadata Class object". Ces chaînes de caractères sont ensuite supprimées mais l'objet "Metadata Class object" conserve ici un pointeur vers ces dernières.

Des protections sont normalement mises en place dans le moteur d'exécution Flash mais cet objet a la particularité de ne pas les utiliser. Par la suite, le programme se sert de ces pointeurs pour réaliser l’exécution d'une commande via l'interface système (shell) de Windows.

Informations
+

Risques

  • Elévation de privilèges
  • Exécution de code arbitraire

Criticité

  • Score CVSS : en cours d'évaluation

Existence d’un code d’exploitation de la vulnérabilité

  • Un code d'exploitation de la vulnérabilité est disponible directement sur GitHub.

Composants & versions vulnérables

  • Adobe Flash Player Desktop Runtime versions 31.0.0.153 et antérieur.
  • Adobe Flash Player for Google Chrome versions 31.0.0.153 et antérieures.
  • Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (Windows) versions 31.0.0.153 et antérieures.
  • Adobe Flash Player Installer (Windows) versions 31.0.0.108 et antérieures.

CVE

  • CVE-2018-15982
  • CVE-2018-15983

 

     


    Recommandations
    +

    Mise en place de correctif de sécurité

    • Un correctif de sécurité à été publié sur le site d'Adobe, elle peut être installée via le mécanisme de mise à jour directement inclu dans Flash Player ou bien en se rendant sur le Adobe Flash Player Download Center.

    Solution de contournement

    • Aucune solution de contournement n'est proposée par Adobe.