Exécution de code malveillant à distance pour Flash Player

Avis: CERT.be Advisory #2018-003
Version : 1.0
Référence: CVE-2018-4878
Logiciel impacté : Adobe Flash Player
Type : Remote Code Execution/0-Day
Logiciels concernés:

Afin de vérifier la version de Flash Player installée sur votre système, accédez à l’onglet ‘about’ sur la page de Flash Player ou faites un clic droit sur ‘content running in Flash Player’ et sélectionnez ‘about Adobe (où Macromédia) Flash Player’ à partir du menu contextuel. Si vous utilisez plusieurs navigateurs, refaites le test pour chaque navigateur installé sur votre système.

Risques

Un exploitation réussie de cette vulnérabilité donnerait le contrôle total du système à un acteur malveillant.

Résumé

Un faille critique pour les versions 28.0.0.137 et antérieures de Flash Player d’Adobe a été identifiée. Un exploit utilisant cette faille existe et a déjà été utilisé (CVE-2018-4878) dans des attaques ciblées contre des utilisateurs sous Windows. Ces attaques s’appuient sur des documents Office contenant du code malveillant Flash embarqué, distribués par courrier électronique.

Actions préconisées

Adobe fournira une mise à jour pour cette vulnérabilité la semaine du 5 Février 2018.

La démarche la plus sûre revient à désactiver temporairement voire désinstaller Flash Player.

Si Flash ne peut être désactivé ou désinstallé, il reste quelques bonnes pratiques à mettre en place pour limiter le problème :
La plupart des navigateurs modernes intègrent une fonctionnalité qui permets d’activer le click-to-use pour les extensions comme Flash Player. Au lieu d’exécuter automatiquement le code Flash, l’autorisation de l’utilisateur sera demandée afin de pouvoir continuer.

Pour plus de détails : https://www.howtogeek.com/188059/how-to-enable-click-to-play-plugins-in-...

À partir de Flash Player 27, les administrateurs ont la possibilité de changer le comportement de Flash Player pour Internet Explorer sous Windows 7 et antérieurs en demandant l’autorisation de l’utilisateur avant d’exécuter du code Flash.

Pour plus de détails : https://www.adobe.com/content/dam/acom/en/devnet/flashplayer/articles/fl...

Les administrateurs peuvent aussi considérer l’implémentation de la fonction vue protégée pour Office. Une fois activée, les documents reçus sont marqués comme potentiellement dangereux et sont ouverts en lecture seule.

Pour plus de détails : https://support.office.com/en-us/article/what-is-protected-view-d6f09ac7...

Sources

https://helpx.adobe.com/security/products/flash-player/apsa18-01.html