Comme promis la semaine dernière, Adobe publie une mise à jour de sécurité pour Flash Player afin de corriger la vulnérabilité CVE-2018-4878 qui est exploitée dans des attaques ciblées visant des utilisateurs Windows.
L'exploitation s'appuie sur des documents Office avec du contenu Flash malveillant. Un objet ActiveX (un fichier SWF) est intégré dans le document et contient l'exploit Flash.
L'alerte avait été donnée par le centre d'alerte et de réaction aux attaques informatiques de la Corée du Sud. Il a été repéré un document Excel piégé et visant des utilisateurs coréens afin de les infecter avec un outil d'administration à distance du nom de ROKRAT.
Flash 0day vulnerability that made by North Korea used from mid-November 2017. They attacked South Koreans who mainly do research on North Korea. (no patch yet) pic.twitter.com/bbjg1CKmHh
— Simon Choi (@issuemakerslab) 1 février 2018
Dès novembre 2017, Cisco Talos avait publié des informations au sujet d'une nouvelle version de ROKRAT et pour des menaces concernant la Corée du Sud. Pour Cisco Talos, c'est Group 123 qui se cache derrière les attaques. Un lien formel avec la Corée du Nord n'a pas été établi… mais c'est la piste envisagée.
La mise à jour de Flash Player ne fait pas que corriger la faille CVE-2018-4878, c'est aussi le cas pour une faille CVE-2018-4877 jugée critique, mais pour laquelle il n'est pas fait mention d'une exploitation dans des attaques.
Adobe a programmé l'arrêt de sa technologie Flash d'ici la fin de l'année 2020. Ce sera la fin de la mise à jour et de la distribution de Flash Player.
