Attention au Flash

Ces derniers mois, on retrouve régulièrement le même schéma d’infection sur les systèmes d’information des entreprises avec la visite d’un site Internet infecté qui renvoie vers le téléchargement d’un virus.

Ceci donne du fil à retordre à certaines équipes techniques pour désinfecter les postes alors que d’autres ne rencontrent pas ces problèmes car elles ne sont pas infectés pour des raisons plutôt simples : elles n’ont pas de vecteur de compromission sur leur parc.

Un scénario de compromission

Nous constatons régulièrement des infections de machines à la suite de visites de sites Web injectés par du code malveillant.

Le scénario que l’on retrouve le plus souvent, fait suite à la visite d’un site légitime par un utilisateur.

Ce site légitime et de confiance sur lequel se rend l’utilisateur peut avoir été compromis et utilisé pour propager des logiciels malveillants.

En général, la navigation de l’utilisateur est redirigée à son insu vers un autre site dans le but de télécharger un virus.

Avant d’effectuer cette redirection malveillante, il est possible qu’il y ait une vérification de la configuration de la machine de l’utilisateur.

Cette vérification inclut le navigateur utilisé mais également certains logiciels annexes comme Adobe Flash Player ou encore Java de l’éditeur Oracle.

Il y a quelques temps, les attaquants s’intéressaient beaucoup à Java. De nombreuses vulnérabilités étaient régulièrement découvertes et exploitées pour ce logiciel.

Depuis plusieurs mois, l’intérêt se porte sur Adobe Flash Player. Ce logiciel permettant la lecture de contenus multimédias sur Internet est très présent sur le parc informatique des entreprises.

Aujourd’hui, Adobe Flash Player est le vecteur de compromission n°1.

Lorsqu’on regarde le nombre de vulnérabilités découvertes, on comprend pourquoi…

 

Graph_CERT_java_flash

Source tableau : CERT CYBERPROTECT

 

Mais pourquoi ces logiciels sont-ils plébiscités ?

La raison est simple, ils sont présents sur de nombreux équipements informatiques et sont multiplateformes.

C’est-à-dire qu’on les retrouve aussi bien sur une machine Windows, MAC, Linux et même sur d’autres plateforme comme les TV connectés (voir https://securelist.com/blog/73229/malware-on-the-smart-tv/).

Ce qui fait, qu’avec une vulnérabilité présente sur le logiciel Adobe Flash Player, cela rend l’équipement sur lequel il est installé vulnérable…

A noter, que certains sites comme Youtube ou Facebook abandonnent Flash au profit du HTML 5.

Des solutions ?

Pour se mettre à l’abri d’une compromission par ce vecteur, il y a deux solutions :

  • Maintenir à jour les logiciels
  • Désinstaller les logiciels.

La première solution est la seule solution dans la mesure où les logiciels en question sont nécessaires dans le cadre professionnel. C’est souvent le cas pour Java, qui est utilisé dans beaucoup d’application métier.

La seconde solution est la plus efficace car il faut savoir qu’outre le fait de maintenir les logiciels à jour demande des ressources, surtout lorsque les mises à jour sont fréquentes, des vulnérabilités de type « 0-day » peuvent exister et être exploitées.

Ces vulnérabilités dites « 0-day » peuvent être définies comme des vulnérabilités non corrigées par l’éditeur car ce dernier ne connait pas encore la vulnérabilité ou est en train de créer un correctif.

Entre le moment où une vulnérabilité est exploitée et que l’application d’un correctif est effectuée, il peut se passer un laps de temps important qui peut avoir des conséquences graves pour les entreprises en cas de compromission.

Et là on ne parle que du cas où l’on est conscient de la vulnérabilité, imaginez lorsqu’une vulnérabilité non connu est exploitée !

 

Daniel DIAZ – Analyste Cybersécurité – CERT Cyberprotect

0 réponses

Répondre

Se joindre à la discussion ?
Vous êtes libre de contribuer !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Le temps imparti est dépassé. Merci de saisir de nouveau le CAPTCHA.