Nouvelle attaque de type Zero-Day contre Adobe® Reader, Flash Player et Acrobat

Les laboratoires Antimalwares BitDefender ont réalisé une mise à jour d’urgence pour permettre de détecter un exploit de type « zero-day » affectant les applications Adobe Reader, Acrobat et Flash Player. Comme les précédents exploits Adobe, le vecteur de l’attaque est un fichier PDF malformé contenant à la fois un javascript spécialement conçu et un fichier .SWF intégré. 

 

Connu  sous le nom de CVE-2010-1297 , l’exploit est actuellement en circulation. Une fois ouvert, le javascript entraîne le déchiffrement d’un code shell auquel sera ensuite appliquée la technique du « heap-spraying ».  Si le fichier PDF est ouvert dans un navigateur (ce qui est la situation la plus courante pour des liens placés sur des pages web compromises, des forums, envoyés par e-mail ou par messagerie instantanée), le fichier SWF incorporé force l’exécution du code shell auquel a été appliqué le « heap-spraying ». Une fois exécuté, le code shell déchiffre et dépose un fichier binaire nommé c:\-.exe.

Une courte vidéo présente l’attaque.

 

 

Le fichier malveillant déposé provoque par la suite le téléchargement d’un fichier infecté à distance (les échantillons analysés par BitDefender tentent de se connecter à http://210.[supprimé].214/img/ et de télécharger un fichier nommé xslu.exe).

 

Une DLL secondaire est également déposée dans le dossier %windows%\system32 (écrasant un fichier système) et injectée dans une instance de SVCHOST.EXE. Une fois en place, le fichier dll agit en tant que backdoor et commence à envoyer au serveur distant des informations critiques sur  le système infecté.

Ces informations comprennent l’adresse IP locale, le serveur DHCP (si activé), le masque de sous-réseau, la passerelle par défaut ainsi que le type d’UC et sa fréquence. Certains détails concernant le système d’exploitation sont également recueillis, tels que les informations utilisateur et le groupe administrateurs, les derniers patches de mise à jour, les ressources du réseau, les applications et services installés et des informations relatives au navigateur.

Veuillez noter qu’Adobe considère cette vulnérabilité comme critique et qu’elle affecte les applications suivantes :

• Adobe Flash Player 10.0.45.2 et les versions antérieures pour Windows, Macintosh, Linux et les systèmes d’exploitation Solaris
• Adobe Reader et Acrobat 9.x pour Windows, Macintosh et les systèmes d’exploitation UNIX (en raison du sous-composant authplay.dll livré avec les deux applications).

Au moment où nous écrivons cet article, aucun patch de l’éditeur ne permet de limiter les effets de l’attaque. Afin de rester en sécurité, nous recommandons aux utilisateurs d’installer et de mettre à jour régulièrement une solution antimalware complète et d’être particulièrement  prudents lorsqu’ils ouvrent des fichiers PDF reçus sous forme de pièces jointes ou de liens envoyés par e-mail ou par messagerie instantanée.

BitDefender identifie actuellement les menaces sous les noms suivants : Exploit.SWF.J (pour le fichier PDF avec un composant swf malveillant), Exploit.JS.PDFJSC.1 (pour le javascript), Trojan.Downloader.JNDN (pour le fichier binaire téléchargé) et Backdoor.Agent.AAQJ  (pour le composant backdoor déposé).