jeudi 6 août 2020
Promotion Meilleur VPN 2020
Accueil Malwares Analyse et démonstration de la faille 0-Day Adobe Reader

Analyse et démonstration de la faille 0-Day Adobe Reader

L’attaque exploite un e-mail de spam évoquant une application pour iPad et iPhone.

La semaine dernière n’a pas été de tout repos pour deux applications extrêmement populaires. La technique d’exploitation de Firefox ayant été présentée dans notre précédent article, nous nous intéresserons ici au bug touchant la dernière version de l’application Adobe Flash.

L’attaque est extrêmement bien pensée afin de ne pas éveiller le moindre soupçon auprès des utilisateurs, et les attaquants n’ont pas ménagé leurs efforts pour  parvenir à leurs fins.

Le Scénario :

La première étape de l’attaque utilise un fichier PDF spécialement conçu, joint à un message de spam se faisant passer pour un communiqué de presse. Afin de rendre les choses plus attirantes et de convaincre l’utilisateur qu’il peut ouvrir le fichier sans danger, le message évoque une application pour iPhone et iPad censées « faciliter l’accès des Américains à USAJOBS (site officiel de recherche d’emploi) ». Le message prétend également que le fichier PDF joint contient plus d’informations à ce sujet.
Dès que le fichier PDF est ouvert, il entraîne une exception à l’intérieur du fichier « authplay.dll file » livré avec Adobe Reader, une situation que nous avons déjà observée et abordée dans cet article. Pour être plus précis, la pièce jointe contient un objet SWF malformé qui est analysé par authplay.dll et entraîne l’exécution d’un JavaScript appliquant la technique du « heap-spraying » à du code shell.  En conséquence, un fichier binaire infecté est déchiffré et déposé dans le dossier temporaire sous le nom de « nsunday.exe », avant d’être exécuté. Avec le fichier malveillant, le PDF dépose également un document PDF normal et un script de commande qui fait effet par la suite.
Une fois le fichier malveillant fonctionnel, il apporte une série de modifications au système. Il vérifie également dans lequel des trois processus (« firefox.exe », « iexplorer.exe » ou « outlook.exe ») il est en cours d’exécution, puis prend les dispositions nécessaires pour obtenir l’accès à Internet. Il ouvre également une backddor (identifiée par BitDefender sous le nom de « Backdoor.Generic.496992 », qui permet à l’attaquant de prendre le contrôle à distance de la machine infectée.

Une technique d’infection silencieuse :

Le fichier PDF d’origine et malformé nommé « NewsRelease.pdf » se plantant, l’utilisateur pourrait se rendre compte qu’il y a un problème du point de vue de la sécurité. C’est pourquoi le PDF malveillant dispose d’un second document PDF intégré, à la façon des poupées russes. Le script BAT envoie une requête PING et attend que celle-ci dépasse le délai d’attente, puis tue « Acrobat.exe » et « AcroRd32.exe » avant d’essayer d’ouvrir le second fichier PDF.
Cette courte vidéo illustre ce qui se passe entre le moment où l’utilisateur ouvre la pièce jointe infectée et celui où le fichier PDF normal est ouvert :

[youtube j4AWYgrGTmM nolink]

Si vous disposez d’une solution de sécurité BitDefender, vous n’avez pas à vous inquiéter, puisque le fichier malformé sera dans ce cas reconnu comme étant « Exploit.PDF-JS.Gen ».
En cas de doute quant à la sécurité de votre système, exécuter une analyse rapide, de 60 secondes, complètement gratuite.
L’analyse de cet exploit a été réalisée par les chercheurs BitDefender Octavian Minea et Daniel Chipiristeanu.
UnderNewshttps://www.undernews.fr/
Administrateur et fondateur du site UnderNews

1 COMMENTAIRE

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

- Advertisment -Express VPN

Derniers articles

36% des Millenials se moquent de la sécurité en ligne

La sécurité en ligne s’impose comme le facteur le plus important pour les Millenials lorsqu’on parle d’usages numériques à la maison. Pourtant, si cette...

Le VPN sans logs d’HMA adoubé par VerSprite, société indépendante de conseil en cyber-risque

La politique de non-collecte et de non-conservation des données d’HMA a reçu la meilleure note possible, suite à l’évaluation des facteurs relatifs à la vie privée indépendante.

Nom d’entreprise : comment réussir à trouver le meilleur ?

L’un des plus grands casse-têtes des nouveaux entrepreneurs est de choisir un nom qui accroche et vend en même temps leurs produits ou services. Élément de l’identité individuelle de l’entreprise, il reflète l’originalité et la philosophie de celle-ci. Vous vous demandez comment bien choisir un nom pour votre entreprise ? Voici quelques conseils.

Comment se protéger sur un casino en ligne

En Septembre 2018, un jeune de 17 ans a réussi à pirater un casino et à détourner 250 000 euros en un mois. Voici comment éviter au maximum ce désagrément.