Une nouvelle attaque de type ‘Zero-Day’ contre les applications Adobe® Reader, Flash Player et Acrobat

Un bug dans le fichier authplay.dll contenu dans Adobe Reader et Acrobat 9.x permet l’exécution de code à distance

Les laboratoires Antimalwares BitDefender ont réalisé une mise à jour d’urgence pour permettre la détection d’un exploit de type « zero-day » affectant les applications Adobe Reader, Acrobat et Flash Player. Comme les précédents exploits Adobe, le vecteur de l’attaque est un fichier PDF malformé contenant à la fois un javascript spécialement conçu et intégrant un fichier .SWF . Répertorié sous le nom de CVE-2010-1297, l’exploit est actuellement en circulation.
Une fois ouvert, le javascript entraîne le déchiffrement d’un code shell auquel sera ensuite appliquée la technique du « heap-spraying ». Si le fichier PDF est ouvert dans un navigateur (ce qui est la situation la plus courante pour des liens placés sur des pages web compromises, des forums, envoyés par e-mail ou par messagerie instantanée), le fichier SWF incorporé force l’exécution du code shell auquel a été appliqué le « heap-spraying ». Une fois exécuté, le code shell décompresse et dépose un fichier binaire nommé c:-.exe.
Cette courte vidéo (en anglais) présente l’attaque.
Le fichier malveillant déposé provoque par la suite le téléchargement à distance d’un fichier infecté . Une DLL secondaire est également déposée dans le dossier %windows%system32 (écrasant un fichier système) et injectée dans une instance de SVCHOST.EXE. Une fois en place, le fichier dll agit en tant que backdoor et commence à envoyer au serveur distant des informations critiques sur le système infecté.
Ces informations comprennent l’adresse IP locale, le serveur DHCP (si activé), le masque de sous-réseau, la passerelle par défaut ainsi que le type de processeur et sa fréquence. Certains détails concernant le système d’exploitation sont également recueillis, tels que les informations utilisateur, les derniers patchs de mise à jour installés, les ressources du réseau, les applications et services installés ainsi que des informations relatives au navigateur.
Veuillez noter qu’Adobe considère cette vulnérabilité comme critique et qu’elle affecte les applications suivantes :
– Adobe Flash Player 10.0.45.2 et les versions antérieures pour Windows, Macintosh, Linux et les systèmes d’exploitation Solaris.
– Adobe Reader et Acrobat 9.x pour Windows, Macintosh et les systèmes d’exploitation UNIX (en raison du sous-composant authplay.dll livré avec les deux applications).
Au moment où nous rédigeons cet article, aucun patch de l’éditeur ne permet de pallier les effets de l’attaque. Afin de rester en sécurité, nous recommandons aux utilisateurs d’installer et de mettre à jour régulièrement une solution antimalware complète et d’être particulièrement prudents lorsqu’ils ouvrent des fichiers PDF reçus sous forme de pièces jointes ou de liens envoyés par e-mail ou par messagerie instantanée.
BitDefender a déjà répertorié ces menaces sous les noms suivants : Exploit.SWF.J (pour le fichier PDF avec un composant swf malveillant), Exploit.JS.PDFJSC.1 (pour le javascript), Trojan.Downloader.JNDN (pour le fichier binaire téléchargé) et Backdoor.Agent.AAQJ (pour le composant backdoor déposé).
Pour plus d’informations concernant les produits BitDefender, vous pouvez consulter www.BitDefender.fr et pour retrouver BitDefender en ligne et rester au fait de l’actualité des e-menaces :
– Flux RSS
– Facebook
– Twitter
– La communauté Malwarecity

À propos de BitDefender®

BitDefender est la société créatrice de l’une des gammes de solutions de sécurité les plus complètes et les plus certifiées au niveau international, reconnues comme étant parmi les plus rapides et les plus efficaces du marché. Depuis sa création en 2001, BitDefender n’a cessé d’élever le niveau et d’établir de nouveaux standards en matière de protection proactive des menaces. Chaque jour, BitDefender protège des dizaines de millions de particuliers et de professionnels à travers le monde – en leur garantissant une utilisation sereine et sécurisée de l’univers informatique. Les solutions de sécurité BitDefender sont distribuées dans plus de 100 pays via des partenaires revendeurs et distributeurs hautement qualifiés. Dans les pays francophones, BitDefender est édité en exclusivité par Éditions Profil. Plus d’informations sur BitDefender et ses solutions sont disponibles via le Centre de presse. Retrouvez également sur le site www.malwarecity.fr les dernières actualités au sujet des menaces de sécurité qui permettent aux utilisateurs de rester informés des dernières évolutions de la lutte contre les malwares.

À propos des Editions Profil
Editions Profil, société indépendante créée en 1989, développe, édite et diffuse des logiciels sur différents secteurs d’activités, professionnel et grand public. L’éditeur a constitué un large catalogue de solutions dans de nombreux domaines, par exemple sur les segments de la bureautique et de la productivité. Editions Profil s’est plus particulièrement spécialisée ces dernières années dans l’édition et la distribution d’outils de sécurité informatique et la protection des données en général. Editions Profil édite notamment les solutions de sécurité BitDefender et de contrôle parental Parental Filter 2, ainsi que les solutions Farstone et diffuse les solutions de récupération de données et de gestion de serveurs MS Exchange de Kroll-Ontrack.