La protection EMET contournée sur Windows 7 à cause d'exploits Flash et Silverlight
Pour infecter les machines avec le ransomware TeslaCrypt
Microsoft propose depuis des années EMET (Enhanced Mitigation Experience Toolkit), un outil de sécurité destiné principalement aux entreprises, mais les particuliers peuvent également l’utiliser. Proposé gratuitement, il constitue un rempart qui réduit les risques liés à l’exploitation des vulnérabilités 0-day dans Windows ou encore les vulnérabilités connues pour lesquelles les correctifs disponibles n’ont pas encore été appliqués. Cependant cet outil a été pris à revers par les cybercriminels, selon des chercheurs de la firme de sécurité FireEye. Ces derniers rapportent que de nouveaux exploits permettent de contourner les protections supplémentaires apportées par EMET sur Windows 7, la version de Windows la plus utilisée actuellement.
Ces exploits sont inclus dans l’arsenal du kit d’exploits Angler qui est l'un des outils favoris des cybercriminels pour mener des attaques de type drive-by download (attaques web aboutissant au téléchargement automatique d'un malware). Ils s'appuient sur les plugins Flash Player et Silverlight pour injecter le ransomware TeslaCrypt. Les chercheurs de FireEye expliquent que les exploits Flash et Silverlight ont respectivement recours à des routines de Flash.ocx et Coreclr.dll pour appeler des fonctions, ils se passent de la protection DEP (Data Execution Prevention) avant d’exécuter shellcode. Ils peuvent aussi contourner d’autres protections dénommées EAF (Export Address Table Access Filtering) et EAF+ (Export Address Table Access Filtering Plus).
Cette nouvelle méthode a quelques limitations. Les chercheurs de FireEye ne l’ont observé agir que sur Windows 7 et non sur la dernière mouture Windows 10, largement considérée comme étant plus résistante aux exploits. En plus, les PC pris pour cibles doivent impérativement avoir Flash ou Silverlight installé, ce qui veut dire que les attaques ne réussiront pas si les systèmes concernés n’utilisent pas ces plugins. Récemment, les auteurs de TeslaCrypt ont rendu publique la clé maîtresse pour déchiffrer les fichiers pris en otage. Si la menace n’est plus aussi alarmante, rien ne peut empêcher d’utiliser les exploits d’EMET pour installer d’autres applications malicieuses et mener d’autres attaques.
La firme de sécurité suggère donc que les applications comme Adobe Flash, les navigateurs Web et Oracle Java soient régulièrement mises à jour, en priorisant les correctifs critiques. Sinon, « la désactivation des plugins Flash ou Silverlight pour les navigateurs peut également réduire la surface d'attaque », écrit FireEye.
Si Microsoft a conçu EMET pour bloquer les attaques qui s’appuient sur ce type d’exploits, les développeurs d’Angler ont pu contourner ce bouclier de protection avec de nouvelles techniques. Les prochaines versions d’EMET chercheront une fois encore à regagner le contrôle et bloquer ces exploits.
Source : FireEye
Et vous ?
Qu'en pensez-vous ?
Voir aussi :
Pourquoi les ransomwares font-ils plus peur que les autres types de virus ?
« Nous sommes désolés ! », les opérateurs derrière le ransomware TeslaCrypt mettent un terme à son activité
Partager