Un groupe étatique exploite la vulnérabilité CVE-2017-11292 d’Adobe Flash

Le 16 Octobre 2017, Adobe a été alerté par Kaspersky de l’existence d’une vulnérabilité exploitable dans Flash connue sous la référence CVE-2017-11292. Cette vulnérabilité permet à une personne malveillante d’exécuter du code arbitraire sur la machine vulnérable.

Peu après la publication du patch, un groupe russe étatique mène une campagne d’attaques ciblant les établissements publics et privés aux états unis et en Europe. Pour distribuer le malware, le groupe utilise des documents Word joints à des mails. Le document malveillant comporte un script shell pour charger le payload, précédé d’un autre script élaboré pour contourner les mécanismes de détection de malware.

Le payload final est la dernière version du maliciel FinSpy téléchargé depuis serveur de contrôle semblable à celui utilisé lors de l’exploit survenu en Septembre 2017 (CVE-2017-8759).

La vulnérabilité est exploitable avec succès sur les systèmes d’exploitation Windows 7 utilisant Flash v27.0.0.159 et Microsoft Office 2013 ou encore Windows 10 build 1607 utilisant Flash v27.0.0.130 et Microsoft Office 2013.

MacOS n’a pas été ciblé par la campagne jusqu’à présent. Les versions RS3 64 bits de Windows 10 et Microsoft Office 2016 sont protégés contre l’exploit.

ProofPoint attribue cet exploit à APT28 et Kaspersky à BlackOasis. Néanmoins, les deux firmes recommandent d’appliquer le patch le plus tôt possible pour se protéger d’autres exploits potentiels à venir.