Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Bharat Jogi, Qualys : Adobe Flash Player Zero Day CVE-2011-0611

avril 2011 par Bharat Jogi, Ingénieur sécurité et audit vulnérabilité chez Qualys

Adobe a récemment publié un avertissement concernant une vulnérabilité zero-day affectant Adobe Flash Player 10.2.153.1. L’attaque utilise un flash .swf intégré dans un fichier .doc en apparence anodin. Le fichier embarqué .swf utilise ActionScript pour effectuer un tas de pulvérisation, puis charge d’autres fichiers malicieux .swf créés via la fonction loadBytes ().

Exemple

Fichier : Disentangling Industrial Policy and Competition Policy.doc
MD5 : 96cf54e6d7e228a2c6418aba93d6bd49
SHA1 : 820699d9999ea3ba07e7f0d0c7f08fe10eae1d2d
CVE : CVE-2011-0611
Type de fichier : MS Word.doc file with embedded flash .swf file

Analyse du Malware :

1 - En ouvrant le fichier .doc, la vulnérabilité dans le lecteur flash est exploitée et créee les fichiers « scvhost.exe » et « AAAA » dans le répertoire % temp%. Le "scvhost.exe" est le programme chargé d’introduire, décompresser et installer le logiciel malveillant et le fichier « AAAA » est un fichier factice qui sera affiché à l’utilisateur une fois l’exploitation terminée.

2- Une fois scvhost.exe créé, ce fichier est ensuite exécuté à l’aide de la commande "cmd / c"% temp% \ \ scvhost.exe ".

3 - Le malware se substitue alors au fichier malveillant .doc originel avec le fichier inoffensif "AAAA" créé et l’ouvre ensuite. Il tue également le processus « hwp.exe ». Il fait cela en exécutant la commande suivante :

cmd.exe /c "dir /s %windir%\system32\*.sys&&taskkill /im hwp.exe /f & dir /a /s %windir%\system32\*.msc && copy %temp%\\AAAA "C :\Documents
and Settings\Rodrigo\Desktop\Disentangling Industrial Policy and Competition
Policy.doc " /y && "C :\Documents and Settings\Rodrigo\Desktop\Disentangling Industrial Policy and Competition Policy.doc"

4- Au démarrage, le processus scvhost.exe arrête le service "WmdmPmSN". Le processus scvhost.exe copie à présent "SFC_OS.dll" dans un fichier temporaire.

5- Il copie les fenêtres %system32%\\mspmsnsv.dll dans %programfiles%\\commonfiles\\bak.dll. Le fichier system32%\\mspmsnsv.dll est ensuite déplacé vers %temp% dir et est configuré pour se supprimer au redémarrage.

6- Svchost.exe crée ensuite les fichiers malveillants %system32%\\mspmsnsv.dll et msimage.dat.

7- Svchost.exe copie ensuite ceci %system32%\\mspmsnsv.dll dans%system32%\\dllchace\\mspmsnsv.dll

8- Svchost.exe est ensuite déplacé vers % temp% \ \ [nom du fichier temporaire] et est ensuite configuré pour se supprimer au redémarrage et lancer le service "WmdmPmSN". Ne laissant ainsi aucune trace d’un fichier d’exécution malveillant dans le système.

9- Une fois le service redémarré, il tente de se connecter à ses maîtres à liciayee.dyndns-free.com.

Evitez d’ouvrir des e-mails inconnus ou des pièces jointes et ne cliquez pas sur des liens provenant de sources non fiables. Adobe a publié un avis de sécurité critique APSA11-02 et est en train de finaliser un correctif pour Adobe Flash Player 10.2.x, Adobe Acrobat X (10.0.2) et les versions antérieures 10.x et 9.x pour Windows et Macintosh, Adobe Reader X (10.0.1) pour Macintosh et Adobe Reader 9.4.3 et les versions antérieures 9.x pour les utilisateurs Windows et Chrome Macintosh. Les utilisateurs de Google Chrome peuvent mettre à jour leur version de Chrome 10.0.648.205. Vérifiez la version de Google Chrome installée sur votre système.




Voir les articles précédents

    

Voir les articles suivants