Publié par UnderNews Actu - Télécharger l'application Android

Microsoft corrige la faille Zero Day CVE-2016- 3351, exploitée par les groupes de publicité malveillante AdGholas et GooNky.

Les chercheurs de Proofpoint ont récemment découvert une campagne massive de publicité malveillante, avec la collaboration de collègues de Trend Micro. Ses auteurs, désignés sous le nom d’AdGholas, se distinguent par une utilisation de la stéganographie et un soigneux ciblage des publicités malveillantes ; De façon à obtenir des nombres très élevés de vues de haute qualité, atteignant 1 à 5 millions d’utilisateurs moyens par jour et évitant spécifiquement les machines virtuelles et les sandbox des chercheurs en sécurité, par l’exploitation d’une faille Zero Day dans Microsoft Internet Explorer/Edge.

Le 13 septembre 2016, Microsoft a publié un bulletin de sécurité afin de corriger la vulnérabilité CVE-2016- 3351 pour ses navigateurs Internet Explorer et Edge, qui avait été révélée pour la première fois en 2015. Au cours de travaux avec Trend Micro sur le campagne AdGholas, les équipes de Proofpoint ont à nouveau signalé cette faille, à laquelle a été attribués un identifiant CVE et un correctif.

En bref, cette vulnérabilité concerne un contrôle de type MIME servant à filtrer les systèmes présentant certaines associations d’extensions au niveau du shell, notamment .py, .pcap et .saz. Certaines associations d’extensions, à savoir .doc, .mkv., .torrent et .skype, sont parfois nécessaires pour déclencher la phase suivante de l’exploitation. L’utilisation de cette vulnérabilité a été mentionné (en floutant le code correspondant) par le groupe GooNky dans « The Shadow Knows » et un autre exemple est présenté à la Figure 1.

fig1
Bitdefender

Figure 1 – Faille CVE-2016- 3351 exploitée par GooNky le 18-04- 2016

Cependant, son utilisation par une autre campagne de publicité malveillante a aussi été observée, lancée par AdGholas. La Figure 2 montre un code similaire, masqué différemment.

fig2

Figure 2 – Faille CVE-2016- 3351 exploitée par AdGholas [2] le 06-02- 2016 (les commentaires sont ajoutés)

La faille et son exploitation ont ensuite été observés lors d’une analyse dynamique de la campagne Ec-Centre liée à AdGholas, au cours de laquelle des contrôles ont été effectués sur des extensions de fichiers, notamment .303 (comme critère négatif de comparaison), .cap, .hwl, .har, .halog, .chls, .py, .bfr et .pcap. En outre, cette campagne veillait à ce que Internet Explorer soit le navigateur par défaut (par des contrôles sur l’extension .html).

Des investigations supplémentaires ont permis de constater une utilisation de cette vulnérabilité dès janvier 2014.

fig3

Utilisation de CVE-2016- 3351 dès janvier 2014 dans une chaîne de publicité malveillante aboutissant à l’implantation de Reveton par le kit d’exploitation Angler.

Les chercheurs de Proofpoint pensent que le trafic et l’utilisation de la vulnérabilité reflètent l’activité d’AdGholas avant que ce groupe ne commence à employer la stéganographie au premier semestre 2015.

Conclusion

Les menaces exploitent de plus en plus des bogues non critiques et des vulnérabilités de bas niveau pouvant demeurer non corrigées pendant des mois voire des années. En l’occurrence, le groupe AdGholas a utilisé une telle faille spécifiquement pour échapper à la détection par les systèmes automatisés des chercheurs et des éditeurs, y compris lorsqu’il mène une campagne massive de publicité malveillante de longue durée.

Conclusion ? Dans la mesure du possible, les éditeurs de logiciels ne peuvent se payer le luxe de choisir quelles vulnérabilités corriger, les entreprises et les utilisateurs doivent revoir leurs priorités en matière de correctifs et les chercheurs, trouver de nouveaux moyens pour détecter les activités malveillantes.

Vous avez aimé cet article ? Alors partagez-le en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin Pinterest email
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore noté)
Loading...

Mots clés : , , , , ,


Vos réactions

Ils parlent du sujet :

  1. Sécurité Informatique | Pearltrees

    […] LockSelf – Un gestionnaire sécurisé unique de données pour les entreprises. ADATA dévoile le SD700 un SDD externe NAND 3D ultra-résistant. Blacknurse : Une attaque DDoS déjà connue et neutralisable. Firefox 50 – Plus rapide et plus sécurisé. Au 1er janvier 2017, l'Etat accélère la dématérialisation. AtomBombing – Une vulnérabilité Windows difficile à corriger. Phishing / hameçonnage – Comment distinguer un faux e-mail d'un vrai ? Quand les hackers s'attaquent aux élections. Caméra connectée : Gare à l'espionnage domestique ! Etude : Quelles sont les régions de France hébergeant le plus de zombies ? Français fichés : Le prochain eldorado des cybercriminels ? Microsoft corrige la faille Zero Day CVE-2016-3351. […]

  2. NEWSLETTER CYBERSECURITE SEMAINE 44 - Adacis

    […] CVE-2016-3351, Microsoft adresse un patch à la vulnérabilité sur son navigateur Edge. […]





Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.