
Ces exploits sont inclus dans l’arsenal du kit d’exploits Angler qui est l'un des outils favoris des cybercriminels pour mener des attaques de type drive-by download (attaques web aboutissant au téléchargement automatique d'un malware). Ils s'appuient sur les plugins Flash Player et Silverlight pour injecter le ransomware TeslaCrypt. Les chercheurs de FireEye expliquent que les exploits Flash et Silverlight ont respectivement recours à des routines de Flash.ocx et Coreclr.dll pour appeler des fonctions, ils se passent de la protection DEP (Data Execution Prevention) avant d’exécuter shellcode. Ils peuvent aussi contourner d’autres protections dénommées EAF (Export Address Table Access Filtering) et EAF+ (Export Address Table Access Filtering Plus).
Cette nouvelle méthode a quelques limitations. Les chercheurs de FireEye ne l’ont observé agir que sur Windows 7 et non sur la dernière mouture Windows 10, largement considérée comme étant plus résistante aux exploits. En plus, les PC pris pour cibles doivent impérativement avoir Flash ou Silverlight installé, ce qui veut dire que les attaques ne réussiront pas si les systèmes concernés n’utilisent pas ces plugins. Récemment, les auteurs de TeslaCrypt ont rendu publique la clé maîtresse pour déchiffrer les fichiers pris en otage. Si la menace n’est plus aussi alarmante, rien ne peut empêcher d’utiliser les exploits d’EMET pour installer d’autres applications malicieuses et mener d’autres attaques.
La firme de sécurité suggère donc que les applications comme Adobe Flash, les navigateurs Web et Oracle Java soient régulièrement mises à jour, en priorisant les correctifs critiques. Sinon, « la désactivation des plugins Flash ou Silverlight pour les navigateurs peut également réduire la surface d'attaque », écrit FireEye.
Si Microsoft a conçu EMET pour bloquer les attaques qui s’appuient sur ce type d’exploits, les développeurs d’Angler ont pu contourner ce bouclier de protection avec de nouvelles techniques. Les prochaines versions d’EMET chercheront une fois encore à regagner le contrôle et bloquer ces exploits.
Source : FireEye
Et vous ?

Voir aussi :

