CERT-XMCO : La faille de sécurité 0day révélée par Adobe aurait été utilisée pour s’attaquer au secteur de la défense américain
décembre 2011 par CERT-XMCO
* Military contractor warns of new Adobe Reader exploit
– Date : 07 Decembre 2011
– Programmes :
* Adobe Acrobat
* Adobe Reader
– Gravité : Elevée
– Exploitation : Avec un fichier malicieux
– Description :
La faille de sécurité récemment révélée par Adobe lors de la publication de l’alerte APSA11-04 (voir CXA-2011-2115 et CXA-2011-2117) aurait été exploitée par les pirates pour compromettre les ordinateurs de certains employés d’une entreprise récemment victime de cyber-attaques.
La victime en question est Lockheed Martin, l’une des principales sociétés du secteur de la défense américain qui avait été victime des mêmes pirates que RSA au cours de la première moitié de l’année 2011.
Cette information, même si elle n’a pas été confirmée par l’intéressé, peut être supposée à partir des informations publiées par Adobe. L’éditeur remercie en effet le CSIRT privé de Lockheed Martin pour lui avoir fait part de l’exploitation de la faille de sécurité. Le CSIRT de Lockheed Martin ne travaillant que pour Lockheed Martin, et l’attaque décrite par Adobe étant qualifiée de « ciblée et limitée ». Il semblerait donc que Lockheed Martin ait découvert l’exploitation de cette faille de sécurité en interne, à la suite de la détection d’une tentative d’attaque.
– Vulnérable :
* Adobe Acrobat 9.x
* Adobe Acrobat X 10.x
* Adobe Reader 9.x
* Adobe Reader X 10.x
– Non Vulnérable :
* Adobe Reader pour Android
* Adobe Flash Player
– Référence :
http://www.theregister.co.uk/2011/12/06/adobe_reader_attacks/
http://www.adobe.com/support/security/advisories/apsa11-04.html
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2115
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2117
– Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2462
– Correction :
Aucun correctif n’est actuellement disponible. Adobe recommande aux utilisateurs de la version 10.x (X) de ses produits de vérifier que le mode protégé est correctement activé en vérifiant les points suivants :
* l’option "Enable Enhanced Security" est cochée dans les catégories "Files from potentially unsafe locations" et "All files" en se rendant dans le menu Edit >Preferences > Security (Enhanced) ;
* l’option "Enable Protected Mode at startup" est activée en se rendant dans le menu Edit >Preferences >General.
– Lien extranet XMCO :
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2121