Des attaques zero-day menées via le kit d’exploit Magnitude. La vulnérabilité CVE-2016-1019 touche des versions antérieures d’Adobe Flash Player

Faisant suite à sa recommandation de sécurité du 5 avril dernier, Adobe a publié un correctif ad-hoc concernant la vulnérabilité CVE-2016-1019 touchant Adobe Flash Player. Trend Micro a relevé des attaques zero-day actives émanant du kit d’exploits Magnitude et affectant les utilisateurs des versions Flash 20.0.0.306 et antérieures. Ces attaques n’affectent pas les systèmes utilisant les versions 21.0.0.182 et 21.0.0.197 de Flash grâce à un correctif qu’Adobe a apportée à la version 21.0.0.182 et que l’on retrouve également dans la version 21.0.0.197. Les utilisateurs de ces versions ne subiront qu’un ” crash” d’ Adobe Flash au moment où les attaques essaieront d’exploiter la vulnérabilité.

Tous les utilisateurs sont vivement invités à mettre à jour très rapidement leurs systèmes en téléchargeant le correctif de sécurité le plus récent. Avant la publication de l‘actuel correctif de sécurité, nous avions constaté que le kit d’exploits intégrait déjà cette vulnérabilité, infectant les systèmes avec un ransomware.

D’après notre analyse, CVE-2016-1019 est une vulnérabilité de type  confusion. L’exploitation touche les versions 20.0.0.306 et antérieures de Flash, mais ne provoquera qu’un crash sans exécution du malware sur les versions 21.0.0.182 et 21.0.0.197. Les mesures mises en place par Adobe sont actives à partir de la version 21.0.0.182.

CVE20161019_fig1

Figure 1. Domaines malveillants hébergeant le kit d’exploits Magnitude

L’attaque zero-day sur Adobe Flash intégrée dans Magnitude infecte les systèmes avec le ransomware Locky.

Pas plus tard que le 31 mars 2016, nous avons détecté une attaque zero-day intégrée dans le code du kit d’exploits Magnitude, et ce, grâce à Trend Micro Smart Protection Network. Cette attaque propage le ransomware Locky, qui dissimule son code malveillant dans les macros des fichiers. Ce malware aurait frappé les systèmes informatiques du Methodist Hospital dans le Kentucky, aux États-Unis.

magnitude_CVE20161019

 

Figure 2. Répartition de l’activité mondiale du kit d’exploits Magnitude (31 mars – 6 avril 2016)

Solutions de sécurité contre les attaques zero-day touchant Adobe Flash

Les pirates agissant sous couvert du kit d’exploits Magnitude incluent très rapidement ce bug de sécurité dans la liste des vulnérabilités qu’ils ciblent. Nous recommandons aux utilisateurs de mettre à jour leurs systèmes en téléchargeant la version d’Adobe Flash Player la plus récente.

Trend Micro protège les systèmes contre les risques d’attaques zero-day par le biais d’une large gamme de solutions. L’outil Browser Exploit Prevention existant dans nos produits de sécurité endpoint, par exemple Trend Micro Security, Smart Protection Suites et Worry-Free Business Security, bloquent l’exploitation des vulnérabilités au niveau du navigateur lors que l’utilisateur clique sur les URL malveillantes. Notre Sandbox avec son moteur Script Analyzer, intégré dans Trend Micro Deep Discovery, permet de détecter cette menace en fonction de son comportement, sans nécessiter de mises à jour du moteur ou du modèle.

Trend Micro Deep Security et Vulnerability Protection protègent les systèmes contre les menaces susceptibles d’exploiter ces vulnérabilités via les règles DPI suivantes :

*   1007572 – Vulnérabilité par exécution de code arbitraire à distance sur Adobe Flash Player (CVE-2016-1019)

Les clients TippingPoint seront protégés grâce au filtre MainlineDV suivant (disponible à partir du 12 avril) :

*   24253: HTTP: vulnérabilité de confusion dans Adobe Flash

Pour davantage d’information sur le kit Magnitude, vous pouvez consulter notre blog en anglais pour une mise à jour.

 

Leave a Reply

Your email address will not be published. Required fields are marked *