Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : RedKit, un nouveau kit d’exploitation, fait son apparition sur la toile

mai 2012 par CERT-XMCO

- Date : 04 Mai 2012

- Criticité : Elevée

- Description :
Des chercheurs de Trustwave ont découvert un nouveau kit d’exploitation sur Internet. N’ayant pas de nom officiel, ce kit d’exploitation a été baptisé RedKit en raison des couleurs utilisées pour le panel d’administration.

Les créateurs de RedKit en font la promotion en utilisant des bannières publicitaires. En cliquant sur l’une de ces bannières, le potentiel acheteur est redirigé vers un formulaire, hébergé sur un site web compromis, l’invitant à renseigner son nom de messagerie Jabber afin que les créateurs du kit puissent le recontacter. Il n’est donc pas possible de les contacter directement.

Les auteurs du kit proposent ensuite au potentiel acheteur une version d’essai afin que celui-ci puisse tester l’efficacité du kit d’exploitation.

Le panneau d’administration du kit propose les options habituelles : statistiques sur le trafic entrant, possibilité de scanner un exécutable avec 37 antivirus différents, etc.

RedKit propose par ailleurs une API permettant de produire de nouvelle URL toutes les heures, afin de contourner un éventuel blacklisting d’une page web malveillante.

Ce kit embarque les codes d’exploitation de deux vulnérabilités actuellement en vogue :
 la vulnérabilité présente dans la LibTIFF d’Adobe Acrobat et Adobe Reader (CVE-2010-0188, voir CXA-2010-0289) ;
 et la vulnérabilité Java concernant la classe AtomicReferenceArray (CVE-2012-0507, voir CXA-2012-0527, CXA-2012-0719) utilisée récemment par le malware Flashback.

- Référence :

http://www.net-security.org/malware_news.php?id=2096

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0719

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-0289

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0527

- Référence CVE :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0507

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0188

- Lien extranet XMCO :

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0764


Voir les articles précédents

    

Voir les articles suivants