Une nouvelle vulnérabilité zero-day de Flash exploitée par la campagne Pawn Storm

Pawn Storm Les chercheurs en sécurité de Trend Micro ont identifié que les assaillants derrière la campagne Pawn Storm utilisent une vulnérabilité zero-day d’Adobe Flash pour mener leurs exactions. Pawn Storm est une opération de cyber-espionnage menée depuis un certain temps déjà, et connue pour cibler des organisations de premier rang (ministères des affaires étrangères de plusieurs pays notamment), à l’aide de la première vulnérabilité qui ait été identifiée depuis deux ans sur Java.

Lors de sa dernière campagne, Pawn Storm a ciblé les ministères des affaires étrangères de différents pays dans le monde, et ces administrations ont reçu des emails de spear phishing contenant des liens permettant d’exploiter la vulnérabilité. Les messages et les URL ont été conçus en tant que fil d’actualités vers des informations récentes, avec mention de différents sujets, à l’instar de :

– Une explosion à la voiture piégée a ciblé un convoi des troupes de l’OTAN à Kaboul
– Les troupes syriennes gagnent du terrain alors que Poutine encourage des frappes aériennes
– Israël lance des frappes aériennes ciblées sur Gaza
– La Russie menace de réagir à la présence d’armes nucléaires américaines en Turquie
– L’armée américaine révèle le retour en Syrie de 75 rebelles entraînés par les États-Unis

Il est intéressant de noter que les URL malveillantes hébergeant les outils capables d’exploiter la vulnérabilité zero-day de Flash sont similaires aux URL utilisées lors des attaques qui ont ciblé les membres de l’OTAN et la Maison Blanche en avril de cette année.
Les ministères des affaires étrangères sont devenues des cibles de prédilection pour Pawn Storm ces derniers temps. Aux côtés des attaques, les assaillants ont également mis sur pied des serveurs Outlook Web Access fictifs pour nombre de ces ministères, un moyen simple mais néanmoins efficace pour détourner des identifiants d’authentification. Un ministère a même subi une modification de paramètres DNS sur son serveur d’email entrant, soulignant la possibilité que Pawn Storm ait intercepté des emails entrants sur une certaine période en 2015.
Selon nos analyses, la vulnérabilité zero-day de Flash affecte à minima les versions19.0.0.185 et 19.0.0.207 d’Adobe Flash Player.


Figure 1. Versions d’Adobe Flash vulnérables

Pour se défendre contre les menaces impliquant des exploits zero-day, il s’agit d’opter pour une solution proactive qui active plusieurs couches de sécurité. Les vulnérabilités Zero-day des applications telles qu’Adobe Flash sont difficiles à gérer et souvent utilisées lors de ces attaques.

Les technologies de Trend Micro protègent les utilisateurs contre l’exploit de vulnérabilité zero-days, en déployant une protection avtive sur les différentes couches d’une infrastructure.
Plus spécifiquement, la sandbox existante avec le moteur Script Analyzer engine (un module de Trend Micro™ Deep Discovery) peut être utilisée pour détecter cette menace, compte tenu de son comportement, et sans mises à jour du moteur ou de signatures.

D’autre part, Trend Micro Deep Security et Vulnerability Protection protègent les systèmes des utilisateurs contre toute menace susceptible de tirer parti de cette vulnérabilité Adobe Flash, grâce à la règle 1007119 – Identified Malicious Adobe Flash SWF File.

Nous nous sommes coordonnés avec Adobe pour traiter cette information. Adobe a depuis émis une alerte de sécurité identifiée en tant que CVE-2015-7645.

Leave a Reply

Your email address will not be published. Required fields are marked *