+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités
    Avatar de Coriolan
    Homme Profil pro
    Étudiant
    Inscrit en
    mai 2016
    Messages
    408
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Maroc

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mai 2016
    Messages : 408
    Points : 9 724
    Points
    9 724

    Par défaut La protection EMET contournée sur Windows 7 à cause d'exploits Flash et Silverlight

    La protection EMET contournée sur Windows 7 à cause d'exploits Flash et Silverlight
    Pour infecter les machines avec le ransomware TeslaCrypt

    Microsoft propose depuis des années EMET (Enhanced Mitigation Experience Toolkit), un outil de sécurité destiné principalement aux entreprises, mais les particuliers peuvent également l’utiliser. Proposé gratuitement, il constitue un rempart qui réduit les risques liés à l’exploitation des vulnérabilités 0-day dans Windows ou encore les vulnérabilités connues pour lesquelles les correctifs disponibles n’ont pas encore été appliqués. Cependant cet outil a été pris à revers par les cybercriminels, selon des chercheurs de la firme de sécurité FireEye. Ces derniers rapportent que de nouveaux exploits permettent de contourner les protections supplémentaires apportées par EMET sur Windows 7, la version de Windows la plus utilisée actuellement.

    Nom : IOC1.jpg
Affichages : 1328
Taille : 36,4 Ko

    Ces exploits sont inclus dans l’arsenal du kit d’exploits Angler qui est l'un des outils favoris des cybercriminels pour mener des attaques de type drive-by download (attaques web aboutissant au téléchargement automatique d'un malware). Ils s'appuient sur les plugins Flash Player et Silverlight pour injecter le ransomware TeslaCrypt. Les chercheurs de FireEye expliquent que les exploits Flash et Silverlight ont respectivement recours à des routines de Flash.ocx et Coreclr.dll pour appeler des fonctions, ils se passent de la protection DEP (Data Execution Prevention) avant d’exécuter shellcode. Ils peuvent aussi contourner d’autres protections dénommées EAF (Export Address Table Access Filtering) et EAF+ (Export Address Table Access Filtering Plus).

    Cette nouvelle méthode a quelques limitations. Les chercheurs de FireEye ne l’ont observé agir que sur Windows 7 et non sur la dernière mouture Windows 10, largement considérée comme étant plus résistante aux exploits. En plus, les PC pris pour cibles doivent impérativement avoir Flash ou Silverlight installé, ce qui veut dire que les attaques ne réussiront pas si les systèmes concernés n’utilisent pas ces plugins. Récemment, les auteurs de TeslaCrypt ont rendu publique la clé maîtresse pour déchiffrer les fichiers pris en otage. Si la menace n’est plus aussi alarmante, rien ne peut empêcher d’utiliser les exploits d’EMET pour installer d’autres applications malicieuses et mener d’autres attaques.

    La firme de sécurité suggère donc que les applications comme Adobe Flash, les navigateurs Web et Oracle Java soient régulièrement mises à jour, en priorisant les correctifs critiques. Sinon, « la désactivation des plugins Flash ou Silverlight pour les navigateurs peut également réduire la surface d'attaque », écrit FireEye.

    Si Microsoft a conçu EMET pour bloquer les attaques qui s’appuient sur ce type d’exploits, les développeurs d’Angler ont pu contourner ce bouclier de protection avec de nouvelles techniques. Les prochaines versions d’EMET chercheront une fois encore à regagner le contrôle et bloquer ces exploits.

    Source : FireEye

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    Pourquoi les ransomwares font-ils plus peur que les autres types de virus ?
    « Nous sommes désolés ! », les opérateurs derrière le ransomware TeslaCrypt mettent un terme à son activité

  2. #2
    Membre habitué
    Homme Profil pro
    Développeur .NET
    Inscrit en
    janvier 2011
    Messages
    104
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 27
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : janvier 2011
    Messages : 104
    Points : 169
    Points
    169

    Par défaut

    En ce qui me concerne, le module Flash ne s'active que sur demande, ce qui permet de cumuler sécurité et praticité

Discussions similaires

  1. pb d'installation d'Oracle 9 sur windows 2000
    Par condor dans le forum Oracle
    Réponses: 1
    Dernier message: 14/12/2006, 11h40
  2. pb d'installation d'Oracle 9 sur windows 2000
    Par condor dans le forum Oracle
    Réponses: 1
    Dernier message: 14/06/2006, 14h28
  3. phpPgAdmin sur windows
    Par krimson dans le forum PostgreSQL
    Réponses: 18
    Dernier message: 14/04/2004, 17h56
  4. [Utilisation Postgresql sur windows]
    Par xhercule dans le forum PostgreSQL
    Réponses: 6
    Dernier message: 26/01/2004, 18h36

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo