Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.

Comment allier sécurité et productivité avec l’authentification unique

Trouver l’équilibre parfait entre sécurité et productivité est une tâche très délicate lorsque l’on travaille dans l’informatique.

Ce principe est très bien illustré dans le besoin pour les utilisateurs Active Directory (AD) d’accéder à plusieurs systèmes grâce à l’utilisation de plates-formes d’authentification unique (SSO).

Du point de vue de l’utilisateur final, l’authentification unique est une excellente idée. Vous vous connectez à une plate-forme, ce qui vous donne accès à plusieurs applications, programmes et sites, sans avoir besoin de vous connecter individuellement à chacun d’entre eux. C’est pratique, rapide et sans tracas. Mais cela peut également s’avérer être un gros risque pour la sécurité comme l’explique la société IS Decisions.

Dixons Carphone : Plusieurs millions de données compromises

Dixons Carphone : Une importante entreprise du Royaume-Uni face à une violation de données personnelles. Des infos financières de millions de clients compromises.

La société ciblée Dixons Carphone a reconnu la violation et a déclaré que les pirates avaient eu accès à 1,2 million de données personnelles et 5,9 millions de cartes de paiement à partir des systèmes de traitement de ses magasins Currys PC World et Dixons Travel. Dans un communiqué de presse [voir ci-dessus, NDR], le PDG de Dixons Carphone, Alex Baldock, a déclaré : « Nous sommes extrêmement déçus de tout ce bouleversement que cela pourrait vous causer. La protection des données doit être au cœur de nos activités« .

La société a également révélé que sur 5,9 millions de cartes de paiement, 5,8 millions de cartes sont protégées par des combinaisons de puce et de numéro d’identification, mais que 105 000 cartes basées en dehors de l’Union européenne ne sont pas protégées.

De plus, les 1,2 million d’enregistrements compromis contenaient des données personnelles de clients, notamment des noms, des adresses électroniques et des adresses. Cependant, l’entreprise affirme n’avoir aucune preuve que cette information a quitté ses systèmes ou a entraîné une fraude à ce stade.

Dixons Carphone est une importante société de distribution et de services de télécommunication et d’électricité avec des magasins dans toute l’Europe, notamment au Royaume-Uni, en Irlande, au Danemark, en Suède, en Norvège, en Finlande, en Grèce et en Espagne.

On ne sait pas comment la violation de données a eu lieu et qui est derrière elle depuis que les enquêtes sont en cours. Cependant, ce n’est pas la première fois que Dixons Carphone subit une violation de données aussi massive. En 2015, des pirates avait pu accéder aux données personnelles et bancaires de millions de clients de Carphone Warehouse lors d’une cyberattaque.

Patch Tuesday : 51 nouveaux correctifs pour juin

Le Patch Tuesday de juin est plus léger que ceux des mois précédents, avec 51 CVE uniques résolues dont 11 classées comme critiques. Adobe a également publié la semaine dernière une mise à jour urgente pour une vulnérabilité qui affecte Flash Player, qui est activement exploitée.

Speculative Store Bypass Microsoft a publié des correctifs pour Speculative Store Bypass lors de son patch Tuesday, une vulnérabilité également dénommée Variante 4 de Spectre. Ces patches déploient une protection Speculative Store Bypass Disable (SSBD) pour les processeurs Intel. Le nouveau microcode Intel devra être pleinement protégé contre la Variante 4. Microsoft a publié un article contenant des actions recommandées.

Windows DNSAPI Des patches ont été publiés pour des vulnérabilités détectées dans la bibliothèque DLL DNSAPI de Windows. Ces dernières peuvent permettre à un attaquant de compromettre un système via un serveur DNS malveillant. Les postes de travail mobiles se connectant à des points wifi non fiables sont à risque. Ce patch est donc une priorité pour eux.

Protocole HTTP Une faille critique dans le fichier HTTP.sys de Microsoft est également corrigée dans le Patch Tuesday de juin. HTTP.sys « écouteur en mode noyau » utilisé par IIS et différents services Windows. Un attaquant qui exploite cette vulnérabilité peut prendre le plein contrôle de la machine ciblée. Ce patch doit être déployé de manière prioritaire sur tous les systèmes, serveurs et postes de travail Windows.

Navigateurs et moteur de script Les autres patches Microsoft critiques de ce mois-ci sont destinés principalement aux navigateurs, au moteur de script Windows et à Windows Media Foundation. Ces correctifs doivent être déployés en priorité sur les équipements de type poste de travail.

Adobe Adobe a donc publié la semaine dernière une mise à jour non programmée pour une vulnérabilité découverte dans son module Flash Player. Selon Adobe, cette vulnérabilité est exploitée activement et doit être corrigée en priorité sur les équipements de type postes de travail. En mai dernier, une autre mise à jour en urgence avait déjà été publiée pour Adobe Reader qui faisait aussi l’objet d’un exploit disponible publiquement. Ce patch est également une priorité pour les postes de travail impactés. (Par Jimmy GrahamThe Laws of Vulnerabilities)

La Russie demande à Apple de supprimer Telegram dans l’App Store

La guerre entre l’application Telegram et le gouvernement Russie touche Apple. Apple sommé de retirer l’outil de communication chiffrée de son Apple Store.

L’application de messagerie sécurisée Telegram a été interdite en Russie en avril 2018, mais jusqu’à présent, elle est toujours disponible dans sa version russe sur l’App Store d’Apple. Le gouvernement Poutine vient de demander à APPLE de retirer de sa boutique Telegram.

Effacer la possibilité de le télécharger, mais aussi l’empêcher d’envoyer des notifications push aux utilisateurs locaux. Les autorités indiquent à Apple lui laisser un mois pour se conformer avant d’imposer une sanction plus radicale. Pour rappel, Telegram refuse de fournir aux autorités Russes les clés de déchiffrement. Une/des « master key » qui pourrai(en)t permettre au FSB, les services de renseignement Russes, de surveiller les messages diffusés via Telegram. Dans sa mission de blocage des actions terroristes, via Telegram et autres outils d’anonymisation, la Russie a bloqué 50 services VPN afin de restreindre davantage l’accès à Telegram.

Mais malgré ces efforts, la majorité des utilisateurs en Russie accèdent toujours à l’application, indique Roskomnadzor. Seulement 15 à 30% des opérations de Telegram perturbées jusqu’à présent. Bilan, la Russie se tourne vers Apple pour obtenir de l’aide. Roskomnadzor, piraté il y a quelques jours, annonce que Google est en pourparlers pour interdire l’application sTelegram sur Google Play. Alors qu’Apple a exprimé son soutien pour le chiffrement et la sécurisation des données, la société américaine a également fait des concessions aux demandes locales. En Chine, par exemple, Apple a retiré les applications VPN de son magasin.

En attendant, cela veut-il dire que Telegram possède des clés de déchiffrement permettant de lire les messages transitant par ses services ?

Son système de stockage iCloud a été déplacé vers Guizhou-Cloud Big Data Industry Development Co., Ltd. (GCBD), une entreprise locale liée au gouvernement.

14 failles de sécurité pour des modèles BMW

Des chercheurs en cybersécurité découvrent 14 failles de sécurité dans des modèles de la marque automobile BMW. Ces vulnérabilités permettraient d’intervenir à distance sur le fonctionnement interne d’une voiture ciblée.

Depuis plusieurs années déjà, de nombreux chercheurs ont mis en garde les constructeurs automobiles contre leurs systèmes électroniques qui sont souvent conçus sans qu’une profonde attention ne soit portée à la sécurité. On se rappelle notamment de Charlie Miller et Chris Valasek qui avaient montré en 2015 comment ils parvenaient à prendre le contrôle d’une Jeep alors que le véhicule roulait sur l’autoroute.

L’intérêt de telles démonstrations basé sur un scénario catastrophe a permis aux grand public mais surtout aux constructeurs, de prendre conscience du risque qui n’est plus du tout hypothétique. Dans le cas présent, BMW a travaillé conjointement avec ce groupe de chercheurs chinois et a reconnu leur effort pour, au final, améliorer la sécurité de ses voitures. « Il ne reste plus qu’à espérer que cette démonstration incite d’autres marques à faire de même. » confirme Jérôme Ségura, de chez Malwarebytes.

Les chercheurs ne sont pas à leur coup d’essai. Ils avaient déjà trouvé plusieurs vulnérabilités dans divers modules embarqués utilisés par Tesla. La société Allemande a confirmé les problèmes et leurs corrections en cours.

Cosiloon : les appareils Android livrés avec des malwares pré-installés

Cosiloon – Des chercheurs découvrent un adware pré-installé sur plusieurs centaines de modèles et de versions d’appareils Android différents, y compris ceux fabriqués par ZTE, Archos ou encore myPhone. La majorité de ces appareils ne sont pas certifiés par Google.

Le logiciel publicitaire en question porte le nom de « Cosiloon », et crée une superposition pour afficher une annonce sur une page web dans le navigateur de l’utilisateur. Des milliers d’individus sont touchés, et le mois dernier, Avast a identifié la dernière version de l’adware sur environ 18 000 appareils appartenant aux utilisateurs situés dans plus de 100 pays, dont la France, l’Italie, le Royaume-Uni, l’Allemagne ou encore la Russie parmi d’autres, ainsi que quelques cas aux États-Unis.

L’adware est actif depuis au moins trois ans, et s’avère difficile à supprimer. Il est en effet installé au niveau du firmware (ou micrologiciel) et utilise un code rendu impénétrable par procédé d’offuscation. Le géant du Web a ainsi pris des mesures pour atténuer les capacités malveillantes de nombreuses variantes d’applications sur plusieurs modèles d’appareils, en exploitant des techniques développées en interne.

Google Play Protect a été mis à jour pour garantir la protection de ces applications à l’avenir. Néanmoins, étant donné qu’elles sont pré-installées avec le firmware, le problème reste donc difficile à résoudre. Google a contacté les développeurs de micrologiciels pour les sensibiliser et les encourager à prendre des mesures pour y remédier.

Identifier Cosiloon

Au cours des dernières années, le Threat Labs d’Avast a régulièrement observé des échantillons Android à caractère étrange, dans sa base de données. Ils ressemblaient à n’importe quel autre échantillon, à l’exception que l’adware semblait pas disposer de point d’infection et présentait plusieurs noms de packages similaires, les plus communs étant :

  • com.google.eMediaService
  • com.google.eMusic1Service
  • com.google.ePlay3Service
  • com.google.eVideo2Service

La façon dont le logiciel publicitaire est arrivé sur les appareils n’est pas claire. Le serveur de contrôle était en service jusqu’en avril 2018, et les auteurs ont continué de le mettre à jour avec de nouvelles charges utiles. Les fabricants ont également continué d’expédier de nouveaux appareils avec l’injecteur (ou dropper, en anglais), également appelé « programme seringue » ou « virus compte-gouttes » qui est un programme informatique créé pour installer un logiciel malveillant sur un système cible.

Certaines applications antivirus signalent les charges utiles, mais l’injecteur les ré-installe et ne peut pas lui-même être supprimé. Ce qui signifie que le terminal aura toujours un dispositif permettant à un inconnu d’installer n’importe quelle application. Les chercheurs ont par ailleurs noté que l’adware permet d’installer le dropper sur les appareils, mais il est également en mesure de télécharger facilement un logiciel espion, un ransomware ou tout autre type de menace.

Avast a tenté de désactiver le serveur C&C (Command and Control) de Cosiloon en envoyant des demandes de retrait au registraire de noms de domaines et aux fournisseurs de serveurs. Le premier fournisseur, ZenLayer, a rapidement répondu et désactivé le serveur, mais il a été restauré après un certain temps par le biais d’un autre fournisseur. Le registraire n’a lui pas donné suite, ce qui signifie que le serveur fonctionne toujours.

Désactiver Cosiloon

Les utilisateurs peuvent trouver le dropper dans leurs paramètres (intitulé « CrashService », « meMess » ou « Terminal » avec l‘icône d’Android), et cliquer sur le bouton « désactiver » sur la page des applications, si disponible (selon la version Android). Cela désactivera l’injecteur qui ne reviendra pas.

Enquête sur la diffusion de la propagande de l’État Islamique sur Internet

Des analystes d’une société américaine ont infiltré les deux principaux forums de l’EI sur le Deep & Dark web pour définir les plateformes de diffusion de contenus les plus populaires.

Entre janvier 2015 et décembre 2017, les analystes de Flashpoint ont infiltré et étudié les deux principaux forums de l’EI sur les réseaux du Deep & Dark web. Ces deux forums sont appelés « Forum 1 » et « Forum 2 » dans l’enquête présentée par Flashpoint. Les analystes de Flashpoint ont plus particulièrement analysé les liens URL partagés par les membres de ces deux forums – soit 290 000 liens sur le Forum 1 et 730 000 liens sur le Forum 2 (certains liens étant dupliqués sur les deux forums) – afin de définir les plateformes d’hébergement de contenus les plus populaires.

Archive.org, véritable « librairie » de l’Etat Islamique sur Internet

Comme le révèle le tableau ci-dessous, le site Archive.org est depuis plus de 3 ans, la plateforme d’hébergement de contenus extrémistes la plus utilisée par l’EI et ses partisans pour diffuser leur propagande. Archive.org est un site légitime qui est à l’origine un projet d’un spécialiste de l’intelligence artificielle du célèbre institut américain MIT et qui a pour objectif d’archiver le « Web » à l’intention des futures générations. Mais l’enquête de Flashpoint démontre que le site offre à l’Etat Islamique le meilleur moyen d’héberger des contenus sur la durée. En effet, même si certains contenus ont été effacés, de nombreux autres sont restés accessibles sur Archive.org durant les 3 ans de l’enquête.

Plusieurs célèbres plateformes sont également très populaires et positionnées en haut du top 10 des principales plateformes utilisées pour diffuser du contenu de propagande. Même si son utilisation a légèrement décliné entre 2015 et 2017, Youtube fait toujours parti du Top 5 de ces plateformes, tout comme Google. Il est tout de même à noter que même si Twitter et Youtube n’ont pas rendu public l’ensemble de leurs actions pour éradiquer les contenus extrémistes de leur plateforme, leurs efforts ont eu des résultats. Twitter a ainsi disparu du top 10 des plateformes les plus populaires.

D’après les messages récupérés par les analystes de Flashpoint sur les forums, le groupe EI semble regretter ce manque de présence sur Twitter. Dans un post publié sur le Forum 2 en janvier 2018, l’auteur d’un fil de discussion a partagé une capture d’écran d’un tweet qui déclarait, en langue arabe, que « l’une des plus grandes pertes de l’État islamique est la perte de ce que l’on appelait « Wilayat Twitter » (pouvant être traduit littéralement par « région administrative Twitter »).

Malgré cela, le groupe tente toujours en vain d’inciter ses partisans à revenir sur Twitter. Les analystes de Flashpoint citent par exemple un partisan de l’EI qui réagissait au tweet d’une capture d’écran soulignant la chute de l’utilisation de Twitter par l’EI, par un appel : « Nous vous demandons jour et nuit de revenir sur Twitter… »

Ce à quoi un autre partisan répondait (également traduit de l’arabe) : « Frère, cette tâche est impossible. J’ai moi-même eu plus de 120 comptes fermés sur Twitter. Parfois, trois comptes étaient fermés le même jour. Même si je n’étais pas aussi actif que d’autres comptes. Quelle est l’utilité d’un compte fermé une heure après son ouverture ? »

Telegram, un outil de diffusion efficace mais à l’audience trop limitée

L’enquête révèle que les unités médias de l’EI ont utilisé l’application de messagerie chiffrée Telegram de manière très efficace pour diffuser du matériel de propagande vers un public très ciblé. Néanmoins, la guerre de l’information leur impose de diffuser largement leurs messages pour qu’ils soient efficacement consommés par l’ensemble de leurs cibles (partisans, personnes vulnérables et radicalisables, voire même aux opposants de l’EI). Par conséquent, l’EI a besoin d’autres plates-formes pour diffuser la propagande.

L’un des principaux distributeurs de propagande de l’EI sur les réseaux, « Nashir News » a ainsi réalisé plusieurs tentatives pour s’implanter sur d’autres plates-formes, et encouragé les partisans à créer des comptes sur celles-ci pour redistribuer du contenu. Au cours de l’année 2017, le groupe a tenté d’établir des comptes sur Twitter et d’autres plateformes et agrégateurs de médias sociaux. En outre, le groupe a publié des messages via Telegram pour appeler les partisans à établir des comptes Twitter et à redistribuer du matériel de propagande. Malgré ces efforts, les comptes étaient généralement fermés dans les heures suivant leur ouverture.

Ken Wolf, Analyste Intelligence Senior de Flashpoint, l’un des principaux auteurs de l’enquête, explique : « Les géants mondiaux de la Tech sont confrontés au défi de la propagande extrémiste. Non content de voir leurs plateformes utilisées à des fins malveillantes, ils sont également sous le feu des critiques pour leur incapacité à éradiquer ce fléau. Depuis décembre 2017, plusieurs gouvernements européens ont annoncé des plans pour taxer les entreprises de la Tech qui n’éliminent pas le contenu extrémiste de leur site Web (UK, Allemagne, etc.). Des mouvements d’Hacktivisme attaquent également la présence de l’EI en ligne comme OpISIS qui signale, détourne ou prend le contrôle des comptes de propagande. Certains mouvements peuvent également représenter un risque pour les plateformes elles-mêmes comme ce fut le cas en 2015 lorsque le groupe AttackNodes a mis Archive.org hors service au moyen d’une attaque DDoS pour alerter sur les contenus de propagande que le site hébergeait ».

Ken Wolf conclut : « Même si la plupart des plateformes mettent en place des actions pour les stopper, ou qu’ils sont signalés, les djihadistes font preuve d’une grande adaptabilité et résilience dans leurs efforts pour distribuer leur propagande. Alors que la guerre continue et que l’Etat Islamique subi des pertes territoriales, Internet va certainement se développer encore plus pour diffuser le plus largement possible l’idéologie du groupe et pour élargir la base de soutien de l’EI. Pour ces raisons, accroitre l’efficacité des programmes visant à stopper la présence en ligne de l’EI doit être un objectif majeur pour lutter et vaincre l’Etat Islamique ».

Facebook annonce son entrée au conseil d’administration de l’Alliance FIDO

Alliance FIDO : Facebook rejoint d’autres grandes entreprises du secteur high-tech, de la finance et du commerce en ligne pour réduire la dépendance des utilisateurs vis-à-vis des mots de passe.

L’Alliance FIDO annonce l’entrée de Facebook au sein de son conseil d’administration. Le réseau social rejoint ainsi d’autres grands noms des secteurs des hautes technologies, des services financiers et du commerce en ligne, afin de concrétiser la vision stratégique de l’Alliance de réduire la dépendance des utilisateurs du monde entier vis-à-vis des mots de passe, grâce à une authentification plus forte et plus simple.

L’Alliance FIDO développe des spécifications d’authentification forte interopérables pour les plateformes informatiques, ainsi que les applications web et mobiles. Grâce à l’intégration de la technique de chiffrement à clé publique dans des outils d’authentification simples d’emploi, tels que les clés de sécurité ou la biométrie, l’approche proposée par l’Alliance FIDO se distingue par un plus haut niveau de sécurité, de confidentialité et de simplicité que les mots de passe et autres formes d’authentification forte.

« Les mots de passe faibles continuent de causer des problèmes inutiles qui pourraient être évités en déployant et en utilisant des techniques d’authentification forte sur une plus grande échelle. Nous sommes fiers de rejoindre le conseil d’administration de l’Alliance FIDO et d’aider ses membres à atteindre leur objectif : élargir et simplifier la disponibilité de l’authentification forte sur les navigateurs web, ainsi que sur les plateformes mobiles et de bureau », a déclaré Brad Hill, ingénieur logiciel, chez Facebook.

Malgré son arrivée toute récente au sein du conseil d’administration de l’Alliance, Facebook a joué un rôle actif en faveur de l’authentification préconisée par l’Alliance FIDO depuis janvier 2017 en permettant à ses 2 milliards d’utilisateurs quotidiens d’utiliser une clé de sécurité compatible FIDO pour s’identifier et accéder à leur compte.

Outre Facebook, de nombreux prestataires de services de premier plan, parmi lesquels Aetna, Google, PayPal, Samsung, Bank of America, NTT DOCOMO, Dropbox ou Github, mettent la technologie d’authentification FIDO à la disposition de leurs vastes bases d’utilisateurs. Le mois dernier, Google, Microsoft et Mozilla se sont ainsi engagés à prendre en charge la norme WebAuthn récemment annoncée dans leurs navigateurs, rendant l’authentification FIDO accessible aux internautes aux quatre coins du Web.

« Nous sommes heureux d’accueillir Facebook parmi les membres de notre conseil d’administration, a déclaré Brett McDowell, Directeur Exécutif de l’Alliance FIDO. Facebook est l’un des services web et mobiles les plus largement utilisés à travers le monde et, à ce titre, contribuera fortement à la mission de l’Alliance FIDO, à savoir proposer des expériences d’authentification à la pointe de l’innovation qui satisfont pleinement les utilisateurs, tout en résolvant les problèmes de sécurité liés à l’utilisation de mots de passe. »

Sécurité optimale : Aborder le principe de privilège minimum

Être administrateur de son poste informatique, qu’il soit professionnel comme personnel, est un risque qu’il faut savoir calculer, définir et maîtriser. Pour une sécurité optimale, la gestion des comptes est indispensable.

Rien que pour les connexions, les restrictions sont un véritable casse tête. Un pirate compromet un compte et c’est toute la chaîne informatique de l’entreprise qui est impactée. Il est probable que les habitudes de connexion habituelles – heure / jour, fréquence, point de terminaison utilisé, etc. – soient brisées.

Il est important d’établir, de mettre en œuvre et d’appliquer des niveaux d’accès minimum au sein de l’organisation afin de limiter les risques associés aux menaces internes ou à l’utilisation abusive des informations d’identification par des attaquants externes. Cela crée une base de sécurité solide, mais ne permet pas de s’assurer que cet environnement de sécurité élevé ne fasse pas l’objet d’une compromission d’identifiants de niveau inférieur et élevé. La société IS Decisions vient d’éditer un livre blanc sur la gestion des connexions en tant qu’élément clé du privilège minimum.

Une exploit 0-Day pour Internet Explorer utilisée in the wild

Fin avril 2018, un exploit inconnu jusqu’alors détécté. Après analyse, il s’avère que cet exploit utilise une vulnérabilité zero-day CVE-2018-8174 pour Internet Explorer. L’exploit a été utilisé dans des attaques ciblées. Depuis le 8 mai, Microsoft propose la contre-mesure de sécurité.

Il est intéressant de noter que l’exploit Internet Explorer a été téléchargé au sein d’un document Microsoft Word. C’est la première fois que l’on note l’utilisation d’une telle technique. A noter également qu’une version de Microsoft Word entièrement patchée a été exploitée avec succès. Après cette découverte, Microsoft diffuse un patch disponible ici, depuis mardi 8 mai.

Un exploit est une forme de logiciel qui se sert des bugs ou des vulnérabilités d’autres logiciels pour infecter des victimes avec un code malveillant. Les exploits sont utilisés très largement par les cybercriminels à la recherche de profits mais aussi par des acteurs plus sophistiqués, qui disposent de soutiens étatiques, dans un but malveillant.

Dans ce cas particulier, l’exploit identifié se base sur le code malveillant exploitant la vulnérabilité zero-day – un bug typique « use-after-free » quand un code exécutable légitime, comme celui d’Internet Explorer, comporte une logique de traitement de la mémoire incorrecte. Cela conduit à la communication d’un code avec de la mémoire disponible. Alors que dans la plupart des cas, cela débouche sur un simple crash du navigateur, l’exploit permet aux attaquants de prendre le contrôle de l’appareil.

Des analyses approfondies de l’exploit ont permis de mieux comprendre la chaine d’infection :

  • La victime reçoit un document Microsoft Office RTF malveillant
  • Après avoir ouvert le document malveillant, la seconde phase de l’exploit est téléchargée – une page HTML avec un code malveillant
  • Le code déclenche un bug UAF de corruption de la mémoire
  • Le shellcode qui télécharge la charge malveillante est alors exécuté.

« Cette technique, jusqu’à ce qu’elle soit corrigée, permettait aux criminels de forcer le chargement d’Internet Explorer, peu importe le navigateur habituellement utilisé par la victime. Cela démultiplie le potentiel de l’attaque, pourtant déjà énorme. Heureusement, la découverte proactive de la menace a permis à Microsoft de sortir un patch correctif dans les temps. Nous invitons les organisations et utilisateurs à installer les patchs les plus récents immédiatement après leur disponibilité, car il ne faudra pas beaucoup de temps avant que les exploits de cette vulnérabilité ne trouvent leur place dans des kits d’exploits populaires et soient utilisés non seulement par les acteurs de menaces sophistiqués, mais également par des cybercriminels de plus petit calibre », explique Anton Ivanov, Security Researcher, Kaspersky Lab