Deux Exploits Zero-Day trouvés après que quelqu’un a téléchargé PoC ’Unarmed’ à VirusTotal

Les chercheurs en sécurité de Microsoft ont dévoilé les détails de deux vulnérabilités critiques et importantes qui ont été récemment découvertes après que quelqu’un ait téléchargé un fichier PDF malveillant sur VirusTotal, et obtenu des correctifs avant d’être utilisé dans la nature .

Fin mars, des chercheurs d’ESET ont trouvé un fichier PDF malveillant sur VirusTotal, qu’ils ont partagé avec l’équipe de sécurité de Microsoft "en tant qu’exploitation potentielle d’une vulnérabilité inconnue du noyau Windows".

Après avoir analysé le fichier PDF malveillant, l’équipe de Microsoft a découvert que le même fichier contient deux exploits différents, l’un pour Adobe Acrobat et Reader, l’autre pour Microsoft Windows.

Depuis la publication des correctifs pour les deux vulnérabilités au cours de la deuxième semaine de mai, Microsoft a publié les détails de ces vulnérabilités aujourd’hui, après avoir donné aux utilisateurs suffisamment de temps pour mettre à jour leurs systèmes d’exploitation et logiciels Adobe vulnérables.

Selon les chercheurs, le PDF malveillant incluant l’exploit zero-days était au début du développement, "étant donné que le PDF lui-même ne fournissait pas de charge utile malveillante et semblait être un code de validation de principe (PoC). "

Il semble que quelqu’un qui aurait pu combiner les deux jours pour construire une arme cybernétique extrêmement puissante avait involontairement et par erreur perdu le jeu en téléchargeant son exploit de sous-développement sur VirusTotal.

Les vulnérabilités zéro-jour en question sont une faille d’exécution de code à distance dans Adobe Acrobat et Reader (CVE-2018-4990) et un bogue d’escalade de privilèges dans Microsoft Windows (CVE-2018-8120).

"Le premier exploit attaque le moteur Adobe JavaScript pour exécuter le shellcode dans le contexte de ce module", explique Matt Oh, ingénieur de sécurité chez Windows Defender ATP Research.

"Le deuxième exploit, qui n’affecte pas les plates-formes modernes comme Windows 10, permet au shellcode d’échapper à Adobe Reader sandbox et s’exécuter avec des privilèges élevés à partir de la mémoire du noyau Windows."

L’exploit Adobe Acrobat et Reader a été incorporé dans un document PDF en tant qu’image JPEG 2000 malveillante contenant le code d’exploitation JavaScript, ce qui déclenche une vulnérabilité sans double utilisation dans le logiciel pour exécuter le shellcode.

Tirant parti de l’exécution du shellcode à partir de la première vulnérabilité, l’attaquant utilise le second noyau Windows pour casser le sandbox Adobe Reader et l’exécuter avec des privilèges élevés.

Étant donné que cet exemple PDF malveillant était en cours de développement au moment de la détection, il incluait apparemment une simple charge utile PoC qui laissait tomber un fichier vbs vide dans le dossier Démarrage.

« Initialement, les chercheurs d’ESET ont découvert l’échantillon PDF lorsqu’il a été téléchargé dans un dépôt public d’échantillons malveillants », ont conclu les chercheurs d’ESET.

"L’échantillon ne contient pas de charge utile finale, ce qui peut suggérer qu’il a été détecté au cours de ses premiers stades de développement Bien que l’échantillon ne contienne pas de charge utile finale malveillante réelle, l’auteur a démontré un haut niveau de et exploiter l’écriture. "

Microsoft et Adobe ont depuis publié des mises à jour de sécurité correspondantes pour les deux vulnérabilités en mai. Pour plus de détails techniques sur les exploits, vous pouvez vous diriger vers les blogs Microsoft et ESET .

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image