Le 15 octobre, les laboratoires BitDefender® ont repéré quatre vulnérabilités critiques affectant Winamp® 5.x. Peu après, plusieurs exploits tirant profit de ces vulnérabilités étaient détectés. Nous ne présenterons pas en détail les trois premiers, qui ne requièrent pas d’action de l’utilisateur autre que leur chargement dans la liste de lecture. Nous aborderons ici le quatrième.
L’ « arme » utilisée par les cyber-criminels est un fichier MTM malformé, un format de fichier audio similaire aux fichiers MOD et MIDI, et transmis aux victimes potentielles sous la forme de pièces jointes à un e-mail, ou via des réseaux sociaux ou des partages de fichiers peer-to-peer. L’objectif est de convaincre les utilisateurs de le télécharger et de l’ajouter à leur playlist.
Cependant, un peu d’ingénierie sociale est nécessaire puisque, pour que la charge malveillante de l’exploit s’exécute, l’utilisateur doit afficher les informations du fichier dans Winamp. C’est cette action qui lance l’exploit contenu dans le fichier MTM malformé.
Pour résumer, dès que l’utilisateur affiche les informations du fichier, l’exploit lance un service backdoor s’exécutant sur le port 444 et est prêt à intercepter des connexions du monde extérieur. La backdoor sera ensuite utilisée par une personne mal intentionnée afin d’accéder facilement à l’ordinateur à distance, avec les mêmes privilèges que l’utilisateur exécutant Winamp.
Voici une courte vidéo montrant comment une connexion devient possible sur le port 4444 une fois que l’utilisateur a affiché les informations du fichier.
BitDefender détecte le fichier malformé sous le nom de « Exploit.Winamp.D » et le termine avant que l’utilisateur ne soit capable de le charger dans le lecteur. Afin de vous protéger contre ce type d’exploit, nous vous recommandons de télécharger des fichiers uniquement sur des sites de confiance et de ne jamais effectuer aucune action sur votre ordinateur demandée ou suggérée par des personnes que vous ne connaissez pas ou en lesquelles vous n’avez pas confiance.
Les informations techniques contenues dans cet article sont disponibles avec la permission de Răzvan Benchea, Spécialiste des malwares chez BitDefender.
Tous les noms de produits ou d’entreprises mentionnés dans ce document le sont à titre purement informatif et sont la propriété, et éventuellement les marques, de leurs propriétaires respectifs.
tags
Juillet 01, 2024
Juin 10, 2024
Juin 03, 2024
Mai 16, 2024