Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les 7 Exploits en circulation les plus répandus ces six derniers mois, selon Bitdefender

juin 2015 par Bitdefender

Bitdefender a identifié les sept vulnérabilités les plus exploitées ces six derniers mois. Les résultats montrent à quel point les vulnérabilités sont à la fois polyvalentes et dangereuses. Elles se répandent le plus souvent via des pièces jointes corrompues, des sites Web infectés ou d’autres méthodes d’ingénierie sociale. Une fois exécutés par l’utilisateur, les Exploits permettent aux cybercriminels de contrôler complètement le système, de voler des données ou d’empêcher le logiciel ciblé de fonctionner. Le PC infecté peut alors être relié à un botnet où il pourra être loué à l’heure pour participer à de la fraude financière, des attaques par déni de service, à l’hébergement de malwares, à l’envoi de spam et à des accès anonymes. Le PC peut également être infecté par un code malveillant spécifique (crypto-ransomware ou mineurs de Bitcoins).

Étant donné que la plupart des utilisateurs négligent de mettre à jour leurs logiciels, les pirates ciblent les défauts et faiblesses connus dans les applications et les systèmes d’exploitation anciens ou obsolètes. Mais les faits démontrent aussi qu’aucun logiciel n’est vraiment impénétrable. Récemment, lors du concours de Hacking Pwn2Own 2015, 21 bugs critiques ont été trouvés dans les quatre principaux navigateurs du marché, ainsi que dans Windows, Adobe Flash et Adobe Reader.

Les 7 vulnérabilités les plus exploitées ces six derniers mois :

1. CVE-2013-2551 - Une vulnérabilité de type ‘use-after-free’ dans Microsoft Internet Explorer (versions 6 à 10). Cette faille permet aux pirates d’exécuter à distance du code arbitraire via un site Web conçu spécialement à cet effet, ce qui déclenche l’accès à un objet supprimé - comme démontré par une équipe de hackers lors du Pwn2Own 2013. Leur attaque d’IE10 avait contourné toutes les protections intégrées à Windows 8 et à IE, et permis au code d’être exécuté sans planter le navigateur.

Comment ça marche ? : lorsque l’utilisateur visite une page Web infectée par une version vulnérable d’Internet Explorer, le navigateur va tenter de restituer son contenu. Parce qu’il est erroné, le contenu va planter un sous-composant du navigateur et laisser le contrôle à la charge utile (le malware qui doit être installé sur le PC vulnérable).

Cet Exploit est actuellement présent dans les kits suivants : Neutrino Exploit Kit, Fiesta Exploit Kit, Hitman Exploit Kit, Styx, Magnitude EK, Nuclear Pack, Sweet Orange EK, FlashPack et Angler.

2. CVE-2014-6352 - Mise en circulation en octobre 2014 pour sa première exploitation, cette vulnérabilité affecte une large gamme de logiciels, y compris Microsoft Windows Vista SP2, Windows Server 2008 SP2 et R2 SP1, Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012 Gold et R2, et Windows RT Gold et 8.1. Cette faille permet à des pirates d’exécuter à distance du code arbitraire via un objet OLE (Object Linking and Embedding). L’OLE est une technologie propriétaire développée par Microsoft qui permet l’intégration et la liaison entre les documents et d’autres objets.

Comment ça marche ? : pour qu’une attaque aboutisse, la victime doit ouvrir un document PowerPoint spécialement conçu qui contient une charge utile malveillante. Une fois ouvert, le document .ppt lance du code qui sera exécuté avec les privilèges de l’utilisateur. À partir de là, le pirate peut enchaîner avec l’utilisation d’un autre Exploit pour escalader ses privilèges au niveau administrateur local.

À ce jour, aucun kit d’Exploit grand public n’est concerné. Cette menace se propage principalement par des e-mails de Spam.

3. CVE-2011-3544.R - Une vulnérabilité non spécifiée dans le composant Java Runtime Environment dans Oracle Java SE JDK, JRE 7 et 6 Update 27, et versions précédentes. Cette faille permet de corrompre un système à distance via des applications Java Web Start et des applets Java non fiables. Java Web Start permet aux utilisateurs de télécharger et d’exécuter des applications Java à partir du Web et est inclus dans le Java Runtime Environment (JRE) depuis la sortie de Java 5.0.

Comment ça marche ? : un site Web infecté tente de charger un applet Java malformé. Le code qu’il contient peut obtenir des privilèges élevés et être exécuté à l’extérieur de sa sandbox.

Actuellement présente dans les kits d’Exploits suivants : Bleeding life, CK VIP, CritXpack.

4. CVE-2014-0515.C - Cet Exploit crée un débordement de la mémoire tampon (buffer overflow) dans certaines versions d’Adobe Flash Player pour Windows, Linux et OS X. Il permet aux pirates d’exécuter à distance un code arbitraire via des vecteurs non spécifiés, comme se fut le cas lors de sa mise en circulation en avril 2014.

Comment ça marche ? : lorsque le navigateur tombe sur une page Web infectée, le plug-in de navigateur Adobe Player tente de lire le fichier. Le code ActionScript modifie alors le déroulement naturel du programme en le dirigeant vers une charge utile malveillante.

Actuellement présent dans le kit Exploit Angler, Archie, le kit Exploit Astrum, Blackhole, le kit Exploit Flash, Hanjuan, Neutrino, NITERIS, l’Exploit kit Nuclear, Null Hole, Rig et Sweet Orange.

5. CVE-2014-1776.A - Une vulnérabilité de type ‘use-after-free’ dans Microsoft Internet Explorer 6 à 11, qui permet aux pirates d’exécuter à distance du code ou de causer un déni de service (corruption de mémoire) par des vecteurs liés à la fonction CMarkup:IsConnectedToPrimaryMarkup.

Comment ça marche ? : une fois que l’utilisateur accède à une page Web malveillante, le navigateur tente de charger un fichier Flash SWF. Compte tenu de sa conception, le fichier SWF modifie la mémoire du programme en écrasant certaines zones. Au lieu de restituer le fichier SWF, Flash Player, finit par exécuter du code malveillant qui infecte le système.

Actuellement inclus dans Infinity / Redkit / Goon, Sednit et Angler.

6. CVE-2010-0840.AU - Une vulnérabilité non spécifiée dans le composant Java Runtime Environment dans Oracle Java SE et Java for Business, permet aux pirates de compromettre à distance la confidentialité, l’intégrité et la disponibilité d’un système à l’aide de vecteurs inconnus.

Actuellement présente dans Nuclear Pack v 2.6, Dragon Pack, l’Exploit kit Hierarchy et Blackhole.

7. CVE-2012-0158.A - Cette faille affecte Microsoft Office 2003 SP3, 2007 SP2 et SP3, et 2010 Gold et SP1 ; Office 2003 Web Components SP3 ; SQL Server 2000 SP4, 2005 SP4, et 2008 SP2, SP3 et R2 ; Visual FoxPro 8.0 SP1 et SP2 9,0 ; et Visual Basic 6.0 Runtime. Elle permet aux pirates d’exécuter à distance du code via un site Web conçu à cet effet, un document Office ou un fichier .rtf qui déclenche une corruption de "l’état du système". Cette vulnérabilité a été exploitée lors de sa mise en circulation en avril 2012 en tant que "vulnérabilité MSCOMCTL.OCX RCE."

Comment ça marche ? : nous voyons ici une attaque en plusieurs étapes, qui commence lorsque la victime ouvre un fichier RTF malveillant reçu en pièce jointe dans des messages de spam. Lorsque le document est ouvert, du code spécialement conçu contourne le sous-système de protection de l’exécution des données, puis décrypte la charge utile obscurcie et la charge dans la mémoire. Le code complexe déplace alors l’exécution vers l’emplacement de la mémoire où réside la charge utile.

Cet Exploit a été principalement utilisé pour implanter des ransomwares lors de sa mise en circulation.

À ce jour, aucun kit commercial ne comprend cet exploit.

Bitdefender recommande aux utilisateurs de mettre à jour régulièrement leur système d’exploitation et leurs applications. Les solutions de sécurité Bitdefender proposent une analyse de vulnérabilité qui recherche automatiquement, dans le Cloud, les dernières versions du système et des applications installées sur l’ordinateur. Elles fournissent également un listing détaillé des vulnérabilités et des risques pour chaque version d’application, tout en proposant un lien pour télécharger les dernières versions disponibles.


Voir les articles précédents

    

Voir les articles suivants