Un Bug Critique dans Adobe Flash

L’attaque est extrêmement bien pensée afin de ne pas éveiller le moindre soupçon auprès des utilisateurs, et les attaquants n’ont pas ménagé leurs efforts pour  parvenir à leurs fins. 

 

La première étape de l’attaque utilise un fichier PDF spécialement conçu, joint à un message de spam se faisant passer pour un communiqué de presse. Afin de rendre les choses plus attirantes et de convaincre l’utilisateur qu’il peut ouvrir le fichier sans danger, le message évoque une application pour iPhone et iPad censées « faciliter l’accès des Américains à USAJOBS (site officiel de recherche d’emploi) ». Le message prétend également que le fichier PDF joint contient plus d’informations à ce sujet.

 

 

Dès que le fichier PDF est ouvert, il entraîne une exception à l’intérieur du fichier « authplay.dll file » livré avec Adobe Reader, une situation que nous avons déjà observée et abordée dans cet article. Pour être plus précis, la pièce jointe contient un objet SWF malformé qui est analysé par authplay.dll et entraîne l’exécution d’un JavaScript appliquant la technique du « heap-spraying » à du code shell.  En conséquence, un fichier binaire infecté est déchiffré et déposé dans le dossier temporaire sous le nom de « nsunday.exe », avant d’être exécuté. Avec le fichier malveillant, le PDF dépose également un document PDF normal et un script de commande qui fait effet par la suite.

 

Une fois le fichier malveillant fonctionnel, il apporte une série de modifications au système. Il vérifie également dans lequel des trois processus (« firefox.exe », « iexplorer.exe » ou « outlook.exe ») il est en cours d’exécution, puis prend les dispositions nécessaires pour obtenir l’accès à Internet. Il ouvre également une backddor (identifiée par BitDefender sous le nom de « Backdoor.Generic.496992 », qui permet à l’attaquant de prendre le contrôle à distance de la machine infectée.

 

Le fichier PDF d’origine et malformé nommé « NewsRelease.pdf » se plantant, l’utilisateur pourrait se rendre compte qu’il y a un problème du point de vue de la sécurité. C’est pourquoi le PDF malveillant dispose d’un second document PDF intégré, à la façon des poupées russes. Le script BAT envoie une requête PING et attend que celle-ci dépasse le délai d’attente, puis tue « Acrobat.exe » et « AcroRd32.exe » avant d’essayer d’ouvrir le second fichier PDF.

 

Cette courte vidéo illustre ce qui se passe entre le moment où l’utilisateur ouvre la pièce jointe infectée et celui où le fichier PDF normal est ouvert :

 

Si vous disposez d’une solution de sécurité BitDefender, vous n’avez pas à vous inquiéter, puisque le fichier malformé sera dans ce cas reconnu comme étant « Exploit.PDF-JS.Gen ».

 

En cas de doute quant à la sécurité de votre système, vous pouvez télécharger une version d’évaluation de 30 jours de BitDefender Total Security 2011 ou exécuter une analyse rapide, de 60 secondes, complètement gratuite.

 

L’analyse de cet exploit a été réalisée par les chercheurs BitDefender Octavian Minea et Daniel Chipiristeanu.