Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : L’identité de l’organisation du Prix Nobel une nouvelle fois utilisée pour propager des malwares

novembre 2010 par CERT-XMCO

* Case Nobel

- Date : 08 Novembre 2010

- Gravité : Elevée

- Description :

Les pirates aiment réutiliser les techniques qui font leur preuve.

Un nouvel exemple a été découvert aujourd’hui. Il y a peu de temps, le site du Prix Nobel était piraté afin de propager un malware. Ce site exploitait une faille de sécurité présente au sein du moteur de JavaScript de Firefox (CXA-2010-1469, CXA-2010-1478 et CXA-2010-1479). Mozilla avait par ailleurs réagi très rapidement en publiant un correctif de sécurité seulement deux jours après que la faille avait été révélée (voir CXA-2010-1488). Pour exploiter cette vulnérabilité, les pirates poussaient les internautes à ouvrir le site Internet malveillant (à son insu) en leur envoyant de nombreux pourriels.

Hier, une nouvelle attaque usurpant l’identité de l’Organisation du Prix Nobel a été lancée. Les pirates ont cette fois envoyé un grand nombre de pourriels contenant une invitation à la cérémonie de remise du prix qui se tiendra le 11 novembre prochain. Ce mail, prétendument envoyé par "Alex Gladstein", le vice-président à la Statégie de l’"Oslo Freedom Forum", contient en pièce jointe un document PDF intitulé "invitation.pdf".

Ce document, bien entendu malveillant, tente d’exploiter la vulnérabilité référencée CVE-2010-2883, récemment corrigée par Adobe dans son bulletin de sécurité APSB10-21 (voir CXA-2010-1327). Pour rappel, cette faille de sécurité provenait d’une erreur dans le traitement des polices de caractères (voir APSA10-02 et CXA-2010-1147). La vulnérabilité était liée à une erreur survenant lors du traitement du champ "uniqueName" de la table "SING" d’une police de caractères TrueType par une fonction de la librairie "CoolType.dll". En incitant un utilisateur à ouvrir un PDF malicieux, un pirate peut provoquer un débordement de tas et prendre ainsi le contrôle du système ciblé.

Pour rappel, la vulnérabilité était largement exploitée dans la nature lors de sa révélation ; principalement dans le cadre d’une attaque de phishing utilisant le sujet "David Leadbetter’s One Point Lesson". Un exploit a de plus été publié (voir CXA-2010-1151).

Cette nouvelle attaque montre clairement l’importance que les cybercriminels apportent à la validation des techniques utilisées. Ici, l’usurpation de l’identité du Prix Nobel, ainsi que l’exploitation de la vulnérabilité présente dans Adobe Reader avaient déjà toutes les deux fait leurs preuves sur le terrain il y a peu de temps.

- Référence :

http://www.f-secure.com/weblog/arch...

http://contagiodump.blogspot.com/20...

* Adobe

* Mozilla

- Référence CVE :

http://cve.mitre.org/cgi-bin/cvenam...

- Lien extranet XMCO Partners :

https://xmco.fr/veille/client/index...




Voir les articles précédents

    

Voir les articles suivants