Nouvelle vulnérabilité 0jours employée dans la diffusion de ransomwares

Des codes d’exploitation pour une vulnérabilité de type 0jour dans Adobe Flash Player sont diffusés de manière agressive via deux kits d’exploitation. La vulnérabilité a été éliminée le 7 avril au soir.

L’exploitation de CVE-2016-1019 dans la nature a été observée avant la diffusion du correctif ; les individus malintentionnés ont utilisé cette vulnérabilité 0jour pour diffuser les ransomwares Locky et Cerber. L’utilisation de kits d’exploitation dans la livraison de ransomware n’a rien de neuf, mais dans le cas de Locky, qui été principalement diffusé via du spam jusqu’à présent, cette nouvelle option ouvre la voie à une montée en puissance de cette campagne malveillante qui a déjà touché les milieux hospitaliers.

La nouvelle vulnérabilité 0jour, lié à une confusion des types de données, touche toutes les versions de Flash Player sur Windows 10 et antérieur. D’après Proofpoint, le code d’exploitation correspondant a déjà été ajouté à l’arsenal de Nuclear et Magnitude ; le premier diffuse Locky tandis que le second intervient dans la propagation de Cerber.

Outre CVE-2016-1019, la mise à jour diffusée par Adobe élimine une vingtaine de vulnérabilités, dont de nombreux bogues de corruption de mémoire, ainsi que use-after-free, type confusion, débordement de pile et contournement de la protection.

Dans le cadre d’un commentaire sur la vulnérabilité 0jour attaquée, Kevin Epstein, Vice-président de Proofpoint chargé des opérations antivirus, a déclaré que le nombre de victimes potentielles pourrait atteindre plusieurs millions, mais il a précisé toutefois que le nouveau code d’exploitation visait des anciennes versions de Flash Player. L’expert a également noté qu’il y avait « un point intéressant au niveau de la propagation du code d’exploitation : il semblerait que les attaquants n’exploitent pas toutes les possibilités offertes. On dirait qu’ils ne se sont pas vraiment rendus compte de ce qu’ils avaient trouvé. Il s’agit d’une vulnérabilité 0jours, mais le code d’exploitation ne vise que les versions plus anciennes de Flash. Ils ont volontairement limiter le profil des victimes et personne ne sait pourquoi. »

Quoi qu’il en soit, ce code d’exploitation est bien actif. D’après Epstein, il a commencé à ajouter Cerber dans Magnitude il y a quatre jours tandis que la combinaison Nuclear-Locky est en place depuis le 31 mars. Ces deux kits d’exploitation ne jouissent pas d’une popularité aussi grande que celle d’Angler auprès des cybercriminels, mais cela n’ôte rien à leur efficacité. Ils jouissent aussi d’une demande stable sur le marché noir. Pour les individus qui propagent Locky à l’aide de millions de spams malveillants envoyés chaque jour, le nouveau code d’exploitation Flash est l’occasion d’améliorer le pourcentage de livraison.

Adobe avait signalé la publication du correctif pour CVE-2016-1019 1 jour et demi avant sa publication afin de mettre tout le monde au courant sur les attaques en cours. Le communiqué anticipé signalait que le code d’exploitation pouvait provoquer un plantage et qu’il permettait aux attaquants d’exécuter un code aléatoire sur le système vulnérable. Les utilisateurs de Flash 21.0.0.182, publié le 10 mars, peuvent se considérer à l’abri, tandis que les autres sont invités à réaliser la mise à jour de toute urgence. D’après Adobe, les individus malintentionnés attaquent pour l’instant uniquement les systèmes Windows 7 et XP dotés de Flash 20.0.0.306 et antérieur.

« Les caractéristiques de cette vulnérabilité permettent à l’attaquant d’exécuter un code aléatoire sur un ordinateur cible ; dans ce cas-ci, le code d’exploitation Flash permet d’écrire des commandes aléatoires dans des cellules concrètes de la mémoire » explique Kevin Epstein. « Dans le cas que nous avons étudié, cette sélection de commandes détermine le chargement et l’exécution du ransomware ».

D’après l’expert, le nouveau code d’exploitation vérifie uniquement la présence d’anciennes versions de Flash Player, même si la vulnérabilité touche toutes les versions de ce produit, sauf celle qui vient d’être publiée.

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *