Infos

Nouvelle vulnérabilité 0jours employée dans la diffusion de ransomwares

Des codes d’exploitation pour une vulnérabilité de type 0jour dans Adobe Flash Player sont diffusés de manière agressive via deux kits d’exploitation. La vulnérabilité a été éliminée le 7 avril au soir.

L’exploitation de CVE-2016-1019 dans la nature a été observée avant la diffusion du correctif ; les individus malintentionnés ont utilisé cette vulnérabilité 0jour pour diffuser les ransomwares Locky et Cerber. L’utilisation de kits d’exploitation dans la livraison de ransomware n’a rien de neuf, mais dans le cas de Locky, qui été principalement diffusé via du spam jusqu’à présent, cette nouvelle option ouvre la voie à une montée en puissance de cette campagne malveillante qui a déjà touché les milieux hospitaliers.

La nouvelle vulnérabilité 0jour, lié à une confusion des types de données, touche toutes les versions de Flash Player sur Windows 10 et antérieur. D’après Proofpoint, le code d’exploitation correspondant a déjà été ajouté à l’arsenal de Nuclear et Magnitude ; le premier diffuse Locky tandis que le second intervient dans la propagation de Cerber.

Outre CVE-2016-1019, la mise à jour diffusée par Adobe élimine une vingtaine de vulnérabilités, dont de nombreux bogues de corruption de mémoire, ainsi que use-after-free, type confusion, débordement de pile et contournement de la protection.

Dans le cadre d’un commentaire sur la vulnérabilité 0jour attaquée, Kevin Epstein, Vice-président de Proofpoint chargé des opérations antivirus, a déclaré que le nombre de victimes potentielles pourrait atteindre plusieurs millions, mais il a précisé toutefois que le nouveau code d’exploitation visait des anciennes versions de Flash Player. L’expert a également noté qu’il y avait « un point intéressant au niveau de la propagation du code d’exploitation : il semblerait que les attaquants n’exploitent pas toutes les possibilités offertes. On dirait qu’ils ne se sont pas vraiment rendus compte de ce qu’ils avaient trouvé. Il s’agit d’une vulnérabilité 0jours, mais le code d’exploitation ne vise que les versions plus anciennes de Flash. Ils ont volontairement limiter le profil des victimes et personne ne sait pourquoi. »

Quoi qu’il en soit, ce code d’exploitation est bien actif. D’après Epstein, il a commencé à ajouter Cerber dans Magnitude il y a quatre jours tandis que la combinaison Nuclear-Locky est en place depuis le 31 mars. Ces deux kits d’exploitation ne jouissent pas d’une popularité aussi grande que celle d’Angler auprès des cybercriminels, mais cela n’ôte rien à leur efficacité. Ils jouissent aussi d’une demande stable sur le marché noir. Pour les individus qui propagent Locky à l’aide de millions de spams malveillants envoyés chaque jour, le nouveau code d’exploitation Flash est l’occasion d’améliorer le pourcentage de livraison.

Adobe avait signalé la publication du correctif pour CVE-2016-1019 1 jour et demi avant sa publication afin de mettre tout le monde au courant sur les attaques en cours. Le communiqué anticipé signalait que le code d’exploitation pouvait provoquer un plantage et qu’il permettait aux attaquants d’exécuter un code aléatoire sur le système vulnérable. Les utilisateurs de Flash 21.0.0.182, publié le 10 mars, peuvent se considérer à l’abri, tandis que les autres sont invités à réaliser la mise à jour de toute urgence. D’après Adobe, les individus malintentionnés attaquent pour l’instant uniquement les systèmes Windows 7 et XP dotés de Flash 20.0.0.306 et antérieur.

« Les caractéristiques de cette vulnérabilité permettent à l’attaquant d’exécuter un code aléatoire sur un ordinateur cible ; dans ce cas-ci, le code d’exploitation Flash permet d’écrire des commandes aléatoires dans des cellules concrètes de la mémoire » explique Kevin Epstein. « Dans le cas que nous avons étudié, cette sélection de commandes détermine le chargement et l’exécution du ransomware ».

D’après l’expert, le nouveau code d’exploitation vérifie uniquement la présence d’anciennes versions de Flash Player, même si la vulnérabilité touche toutes les versions de ce produit, sauf celle qui vient d’être publiée.

Fonte: Threatpost

Nouvelle vulnérabilité 0jours employée dans la diffusion de ransomwares

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception