Les explorateurs du cybercriminel

La protection en place était solide. Mais l’explorateur savait où trouver la faille dans la défense. Il avait été préparé à cela : pénétrer discrètement par la faille et s’introduire dans le système. L’explorateur remplit sa mission et introduit un espion, un voleur ou un agent secret qui va obliger le système à travailler pour son maître. Pourvu que la faille reste ouverte…

Il ne s’agit pas d’un épisode d’un jeu informatique, mais bien du scénario d’action des codes d’exploitation, ces programmes qui exploitent les vulnérabilités d’une application pour s’introduire discrètement dans l’ordinateur de la victime.

Vulnérabilités et codes d’exploitation

Une vulnérabilité est un défaut dans le code d’une application qui, dans certaines conditions, peut être exploité par un individu malintentionné pour atteindre son but. Le code d’exploitation est le programme qui exploite la vulnérabilité de l’application sur un ordinateur distant ou local pour réaliser la tâche malveillante.

La tâche principale du code d’exploitation reside dans l’infection de l’ordinateur à l’aide d’un programme malveillant déterminé. Étant donné que le code d’exploitation est rarement un fichier de grande taille, il contient dans la majorité des cas une fonctionnalité de téléchargement. En règle générale, toutes les actions malveillantes se déroulent à l’insu de l’utilisateur. Il peut arriver toutefois que le navigateur gèle, mais l’utilisateur inexpérimenté n’y verra rien d’alarmant.

Presque toutes les applications contiennent des vulnérabilités et les applications les plus répandues ne font pas exception à la règle. Quelle que soit l’attention que le développeur dévoue à son programme, il est pratiquement impossible d’éviter des erreurs dans le code. La vulnérabilité peut figurer dans l’application qui traite le format du fichier, ou dans la machine virtuelle qui exécute le travail du script. C’est pour cela que les individus malintentionnés intègrent les codes d’exploitation dans divers formats de fichier ou divers formats de protocole : JPEG, TIFF, BMP, GIF, ANI, LNK, etc. Il se peut que le fichier dans son ensemble soit un code d’exploitation, par exemple un script en JavaScript qui exploite une vulnérabilité dans Internet Explorer.

Dans l’écrasante majorité des cas, le code d’exploitation contient le code shell. Il s’agit d’une séquence d’octets qui forme un ensemble d’instructions machine et qui peut être exécutée par le processeur. En général, le code télécharge et exécute un programme malveillant complet sur l’ordinateur de la victime. Toutefois, il existe des vulnérabilités qui, au moment d’être exploitées, n’entraînent pas l’exécution du code shell. Ainsi, le code d’exploitation de la vulnérabilité CVE-2010-1885 dans le Centre d’aide et d’assistance de Microsoft exécute un code HTML qui contient normalement une balise <script> qui renferme le script malveillant chargé de réaliser l’une ou l’autre action. L’’exploitation de la vulnérabilité CVE-2010-2568 dans les fichiers LNK dont il est question ci-dessous entraîne le chargement d’une bibliothèque dynamique dans la mémoire.

Certains codes d’exploitation sont également dangereux parce qu’ils sont exécutés directement par une application de confiance. Prenons le cas par exemple d’une vulnérabilité dans un navigateur Internet qui lance le téléchargement d’un programme malveillant. Ici, le pare-feu ne bloque pas le téléchargement car il est exécuté par une application pour laquelle ce genre d’action est autorisé.

Votre ordinateur est menacé

Il existe plusieurs méthodes pour introduire le code d’exploitation dans l’ordinateur de la victime. La méthode la plus répandue consiste à infecter des sites légitimes. Les téléchargeurs de script Gumblar et Pegel sont le plus souvent utilisés à cette fin. Un script malveillant contenant une multitude de codes d’exploitation est téléchargé sur l’ordinateur des personnes qui visitent les sites compromis et infectés par ces programmes malveillants.

Dans ce genre d’attaque, les individus malintentionnés utilisent ce qu’on appelle un pack de codes d’exploitation, soit un ensemble de codes d’exploitation de vulnérabilités dans divers navigateurs et applications. La logique des individus malintentionnés est simple : Les applications installées varient d’un ordinateur à l’autre et par conséquent, l’utilisation de divers codes d’exploitation augmente la probabilité de pouvoir utiliser au moins l’un d’entre eux. Si Chrome et Adobe Reader sont installés sur l’ordinateur de la victime, deux applications dont les vulnérabilités ont été corrigées, mais que le moteur Java de Sun est vulnérable, un des codes d’exploitation, via la faille de Java, s’active et télécharge un programme malveillant sur l’ordinateur.

C’est ce qu’on appelle une attaque par téléchargement à la dérobée. Ces attaques sont particulièrement dangereuses car l’utilisateur ne se doute même pas qu’elle a lieu. Ce n’est pas un hasard si de nombreux programmes malveillants aussi dangereux et complexes que Zbot/ZeuS, TDSS, Sinowal ou Virut.ce sont diffusés à l’aide d’attaque par téléchargement à la dérobée.

Voici le schéma général d’infection d’un ordinateur par le bot Zbot/ZeuS.

Ils l’ont fait

Ces derniers temps, tous les grands événements qui ont marqué le monde de la sécurité informatique ont été liés d’une manière ou d’une autre à l’exploitation de vulnérabilités.

L’émergence du ver de réseau Kido/Conficker peut être considérée, sans aucune exagération, comme l’un des événements les plus marquants de ces dix dernières années dans le secteur informatique. Ce programme malveillant se caractérise par la simplicité de sa diffusion grâce à la vulnérabilité MS08-067 dans le service du serveur Windows. Il suffit d’envoyer un paquet de réseau dans un format spécial au ver présent sur l’ordinateur attaqué. Si les correctifs requis n’ont pas été installés sur le système d’exploitation, le code malveillant est exécuté.

L’attaque menée contre Microsoft et Google, dans le but de dérober des informations confidentielles, figure parmi les autres événements marquants de ces derniers temps. Cette attaque fut organisée à l’aide du script malveillant Aurora. La vulnérabilité CVE-2010-0249 dans MS Internet Explorer était prise pour cible.

Le ver Stuxnet qui exploite une nouvelle vulnérabilité dans les fichiers LNK est apparu récemment. La vulnérabilité permet de diffuser le programme malveillant en créant un raccourci LNK spécial qui sera placé sur l’ordinateur victime de l’attaque. Quand l’utilisateur ouvre le dossier réseau contenant ce lien, le programme malveillant est exécuté. Ces raccourcis vulnérables peuvent également être diffusés par courrier : le téléchargement du programme malveillant a lieu si le client de messagerie tente d’afficher l’icône. Nous avons observé ces derniers temps, une augmentation du nombre de programmes malveillants qui exploitent la vulnérabilité dans les fichiers LNK. Citons par exemple les droppers Sality.ag qui sont diffusés à l’aide de raccourcis vulnérables.

Correctifs pour les applications

Il est évident que les vulnérabilités qui ne sont pas rectifiées dans les logiciels les plus souvent utilisés peuvent avoir de fâcheuses conséquences. C’est la raison pour laquelle les développeurs des applications concernées diffusent des correctifs. Il s’agit de petites applications chargées de supprimer les vulnérabilités.

La mise à jour automatique des applications installées sur l’ordinateur de l’utilisateur est très importante et a un effet sur la sécurité du système d’exploitation dans son ensemble. La société Microsoft, dont les logiciels sont utilisés dans la grande majorité des ordinateurs du monde entier, est une pionnière en la matière. En effet, elle offre gratuitement le service Windows Update depuis la version Windows 98 de son système d’exploitation. Ce service permet d’installer les correctifs pour les applications vulnérables, de télécharger des pilotes plus récents, des modules complémentaires, etc. pour le système Windows. Au fil du temps, ce service s’est transformé et est devenu le service Microsoft Update. Toujours gratuit, il analyse le système afin de déterminer les logiciels Microsoft qui doivent être actualisés, notamment SQL Server, Visual Studio, Office, etc.

Alors qu’avant les cybercriminels exploitaient principalement les vulnérabilités dans les systèmes d’exploitation MS Windows, ils ont depuis quelques années tourner leurs regards vers les produits d’Adobe tels que Flash Player et Adobe Reader. Au début, Adobe n’était pas vraiment disposé à corriger ces erreurs. Mais elle a compris qu’une telle attitude n’était pas bonne pour la satisfaction de la clientèle. C’est ainsi qu’est apparu le produit Adobe Updater dont les fonctions sont semblables à celles de Windows Update. Il télécharge et installe automatiquement les correctifs pour les applications installées chez l’utilisateur. À l’heure actuelle, la société Sun, dont le moteur Java présente des vulnérabilités exploitées, tente également d’organiser la diffusion des mises à jour.

De leurs côtés, les développeurs de logiciels antivirus ne restent pas les bras croisés. Ils diffusent les mises à jour contenant les codes d’exploitation dangereux détectés. Ceci permet de repousser, d’une certaine manière, l’assaut des individus malintentionnés jusqu’à la diffusion de la mise à jour officielle par le développeur de l’application vulnérable. La coopération entre Microsoft, Adobe et les éditeurs de logiciels antivirus réduit la durée de réaction face aux menaces et permet de mieux protéger les utilisateurs.

De l’importance des mises à jour

De nos jours, la majorité des attaques sur Internet débute par l’utilisation de codes d’exploitation qui permettent aux individus malintentionnés de charger discrètement le programme malveillant dont ils ont besoin sur l’ordinateur de l’utilisateur. De plus, de nombreuses vulnérabilités permettent aux cybercriminels d’obtenir un accès complet au système. Comment les utilisateurs peuvent-ils se protéger contre de telles attaques ?

Tout d’abord, et c’est un des points les plus importants, il faut installer à temps les mises à jour pour les applications utilisées. Malheureusement, les données de Kaspersky Lab indiquent que de nombreux utilisateurs n’actualisent pas leurs applications en temps et en heure. Il suffit de voir le nombre élevé de vulnérabilités non corrigées sur les ordinateurs des utilisateurs. De plus les vulnérabilités que l’on rencontre le plus sont les vulnérabilités découvertes il y a déjà quelques mois de cela, voire quelques années.

Ainsi, au troisième trimestre de cette année, 31 425 011 applications et fichiers contenant des vulnérabilités non corrigées ont été recensés sur les ordinateurs des utilisateurs. Le Top 10 des vulnérabilités du trimestre contenait des vulnérabilités découvertes en 2009, 2008 et même en 2007 !

Nombreux sont les utilisateurs qui pensent que les individus malintentionnés utilisent uniquement les nouvelles vulnérabilités. Parmi les codes d’exploitation qui figurent dans nos classements mensuels des programmes malveillants, nous retrouvons toujours des anciennes vulnérabilités. Par exemple, les auteurs de virus au mois d’août 2010 ont beaucoup utilisé le code d’exploitation de vulnérabilités anciennes telles que CVE-2009-3867, CVE-2010-0806 et CVE-2010-0094.

Il faut se tenir au courant des mises à jour et les installer manuellement si nécessaire. Il faut également activer les services Microsoft Update et Adobe Updater. Outre les mises à jour pour les logiciels de Microsoft et d’Adobe, il ne faut pas ignorer les mises à jour pour d’autres applications, par exemple le célèbre lecteur Winamp.

Il convient également de respecter les règles élémentaires de sécurité informatique : ne pas ouvrir les messages d’expéditeur inconnu, ne pas cliquer sur des liens inconnus, etc. La majorité des navigateurs modernes tels que Google Chrome, Mozilla Firefox et Internet Explore offrent des filtres spéciaux qui bloquent les sites d’hameçonnage et autres sites malveillants. Utilisez un navigateur qui offre de tels filtres.

Et, bien entendu, il est indispensable d’utiliser un antivirus complet qui utilise les bases antivirus les plus récentes afin de pouvoir contrecarrer les codes d’exploitation de vulnérabilités qui n’ont pas encore été supprimées.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *