Une faille de sécurité de type « zero-day » a été découverte. Pensez à faire une mise à jour !
La faille a été détectée le 26 octobre, au moment où certains sites Internet compromis ont commencé à installer des malwares sur les ordinateurs des utilisateurs ayant consulté une page web spécialement conçue.
Le code de l’exploit, écrit en JavaScript, avait été téléchargé sur http://l-3com.[removed]-work.com/admissions/admin.php. Certains sites web prestigieux, tels que la page web du Prix Nobel, avaient été compromis par des injections iFrame et dirigeaient les utilisateurs vers l’exploit.
Ce fichier JavaScript spécialement conçu comprend différentes charges utiles pour les versions 3.6.8 à 3.6.11 de Firefox, qui provoquent une erreur liée à l’utilisation après libération, ce qui signifie que le code essaie d’utiliser une partie de la mémoire alors que celle-ci a été libérée. Cette technique, qui n’est pas révolutionnaire, a également été utilisée dans un Exploit ciblant IE8 en janvier, connu sous le nom d’Opération Aurora.
Une fois la page malveillante consultée, le code JavaScript vérifie à la fois le système d’exploitation et la version du navigateur et dépose dans une zone spécifique de la mémoire deux charges utiles différentes. La première varie en fonction de la version du navigateur et est conçue pour générer l’exception dans le navigateur, alors que la seconde est identique quelle que soit la version du navigateur et exécute le fichier malveillant.
Si l’utilisateur se rend sur la page compromise à l’aide d’un autre navigateur ou en utilisant une version de Firefox qui n’est pas vulnérable, le script redirigera l’utilisateur vers une page about:blank. Si l’exploitation est réussie, un fichier binaire infecté, nommé « svchost.txt », sera téléchargé. Il sera par la suite renommé « svchost.exe » et exécuté sur l’ordinateur de la victime. Ce malware est détecté comme étant « Backdoor.Belmoo.A » et permet à un attaquant de prendre le contrôle à distance d’un système infecté.
Les utilisateurs de BitDefender sont protégés depuis l’apparition de ce nouvel exploit (détecté sous le nom de « Exploit.CVE-2010-3765.A »), ce qui signifie que l’antivirus bloque l’accès à la page web malformée avant que celle-ci ne parvienne à exécuter du code. Firefox a également publié une mise à jour, passant ainsi de la version 3.6.11 à la version 3.6.12, qui n’est plus vulnérable à ce type d’exploit. Afin de profiter d’Internet en toute sécurité, nous vous recommandons de mettre à jour votre navigateur et votre solution antivirus.
L’analyse technique de cet exploit a été réalisée par Octav Minea, Spécialiste BitDefender des Malwares.