Des chercheurs russes de la société Group-IB ont mis le doigt sur un exploit zéro-day ciblant une vulnérabilité jusqu’alors inconnue dans Adobe Reader. Exploit d’ores-et-déjà intégré à l’outil pirate BlackHole Exploit Kit.
Il a été découvert et confirmé que des cybercriminels exploitent une nouvelle faille dans le format PDF, de façon à contourner les fonctions de sécurité dites “sandbox” intégrées dans Adobe Reader X et XI, afin d’installer des malwares sur des systèmes bancaires. Rappelons que c’est la première vulnérabilité qui permette ce contournement et par ce biais, l’exécution de code arbitraire potentiellement malveillant au sein de fichiers PDF.
La chose a été signalée par des chercheurs de l’entreprise de sécurité russe Group-IB. Plus inquiétant, cet exploit zero-day utilise une vulnérabilité jusqu’alors inconnue et non patchée a déjà été intégré dans une version mise à jour du kit pirate BlackHole.
L’exploit qui était passé inaperçu jusqu’à ce jour
“Nous avons surveillé des communautés où se trouvent des informations sur l’attaque“, a indiqué Andrey Komarov, responsable du département des projets internationaux de Group-IB et directeur technique de l’équipe du Computer Emergency Response (CERT-GIB). “La plupart de ces données se trouvent sur des forums privés de hackers russes et chinois.”
[youtube uGF8VDBkK0M nolink]
“L’attaque est vendue sur le marché noir (BlackMarket, ndrl) pour environ 30 000 à 50 000 dollars et elle est actuellement utilisée dans le cadre d’attaques ciblées contre les clients des banques. Cependant, en théorie, elle pourrait également être utilisée pour distribuer des menaces persistantes avancées (APT) qui sont généralement associées à des attaques de cyber-espionage”, a-t-il ajouté.
Encore une caractéristique étonnante, l’exploit, contrairement aux autres, fonctionne même lorsque le support JavaScript est désactivé dans les paramètres d’Adobe Reader ! L’attaque est capable d’infecter une machine utilisant les navigateurs Web Mozilla Firefox et Internet Explorer. Elle n’est pas capable de fonctionner sous Google Chrome, car ce dernier offre une protection supplémentaire pour Adobe Reader. Google marque un point donc, en ayant misé sur la sécurité de son navigateur (rappelez-vous les multiples concours “Pwnium“).
Il est cependant à noter que l’attaque est toutefois quelque peu limitée, car l’utilisateur doit fermer le navigateur après avoir chargé le fichier PDF malveillant pour que le code malveillant soit exécuté sur l’ordinateur…
Source originale : Le Monde Informatique