IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

La protection EMET contournée sur Windows 7 à cause d'exploits Flash et Silverlight


Sujet :

Sécurité

  1. #1
    Expert éminent sénior
    Avatar de Coriolan
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Mai 2016
    Messages
    701
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Sarthe (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mai 2016
    Messages : 701
    Points : 51 808
    Points
    51 808
    Par défaut La protection EMET contournée sur Windows 7 à cause d'exploits Flash et Silverlight
    La protection EMET contournée sur Windows 7 à cause d'exploits Flash et Silverlight
    Pour infecter les machines avec le ransomware TeslaCrypt

    Microsoft propose depuis des années EMET (Enhanced Mitigation Experience Toolkit), un outil de sécurité destiné principalement aux entreprises, mais les particuliers peuvent également l’utiliser. Proposé gratuitement, il constitue un rempart qui réduit les risques liés à l’exploitation des vulnérabilités 0-day dans Windows ou encore les vulnérabilités connues pour lesquelles les correctifs disponibles n’ont pas encore été appliqués. Cependant cet outil a été pris à revers par les cybercriminels, selon des chercheurs de la firme de sécurité FireEye. Ces derniers rapportent que de nouveaux exploits permettent de contourner les protections supplémentaires apportées par EMET sur Windows 7, la version de Windows la plus utilisée actuellement.

    Nom : IOC1.jpg
Affichages : 2133
Taille : 36,4 Ko

    Ces exploits sont inclus dans l’arsenal du kit d’exploits Angler qui est l'un des outils favoris des cybercriminels pour mener des attaques de type drive-by download (attaques web aboutissant au téléchargement automatique d'un malware). Ils s'appuient sur les plugins Flash Player et Silverlight pour injecter le ransomware TeslaCrypt. Les chercheurs de FireEye expliquent que les exploits Flash et Silverlight ont respectivement recours à des routines de Flash.ocx et Coreclr.dll pour appeler des fonctions, ils se passent de la protection DEP (Data Execution Prevention) avant d’exécuter shellcode. Ils peuvent aussi contourner d’autres protections dénommées EAF (Export Address Table Access Filtering) et EAF+ (Export Address Table Access Filtering Plus).

    Cette nouvelle méthode a quelques limitations. Les chercheurs de FireEye ne l’ont observé agir que sur Windows 7 et non sur la dernière mouture Windows 10, largement considérée comme étant plus résistante aux exploits. En plus, les PC pris pour cibles doivent impérativement avoir Flash ou Silverlight installé, ce qui veut dire que les attaques ne réussiront pas si les systèmes concernés n’utilisent pas ces plugins. Récemment, les auteurs de TeslaCrypt ont rendu publique la clé maîtresse pour déchiffrer les fichiers pris en otage. Si la menace n’est plus aussi alarmante, rien ne peut empêcher d’utiliser les exploits d’EMET pour installer d’autres applications malicieuses et mener d’autres attaques.

    La firme de sécurité suggère donc que les applications comme Adobe Flash, les navigateurs Web et Oracle Java soient régulièrement mises à jour, en priorisant les correctifs critiques. Sinon, « la désactivation des plugins Flash ou Silverlight pour les navigateurs peut également réduire la surface d'attaque », écrit FireEye.

    Si Microsoft a conçu EMET pour bloquer les attaques qui s’appuient sur ce type d’exploits, les développeurs d’Angler ont pu contourner ce bouclier de protection avec de nouvelles techniques. Les prochaines versions d’EMET chercheront une fois encore à regagner le contrôle et bloquer ces exploits.

    Source : FireEye

    Et vous ?

    Qu'en pensez-vous ?

    Voir aussi :

    Pourquoi les ransomwares font-ils plus peur que les autres types de virus ?
    « Nous sommes désolés ! », les opérateurs derrière le ransomware TeslaCrypt mettent un terme à son activité

  2. #2
    Membre confirmé
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Janvier 2011
    Messages
    204
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : Janvier 2011
    Messages : 204
    Points : 511
    Points
    511
    Par défaut
    En ce qui me concerne, le module Flash ne s'active que sur demande, ce qui permet de cumuler sécurité et praticité

Discussions similaires

  1. pb d'installation d'Oracle 9 sur windows 2000
    Par condor dans le forum Oracle
    Réponses: 1
    Dernier message: 14/12/2006, 11h40
  2. pb d'installation d'Oracle 9 sur windows 2000
    Par condor dans le forum Oracle
    Réponses: 1
    Dernier message: 14/06/2006, 14h28
  3. phpPgAdmin sur windows
    Par krimson dans le forum PostgreSQL
    Réponses: 18
    Dernier message: 14/04/2004, 17h56
  4. [Utilisation Postgresql sur windows]
    Par xhercule dans le forum PostgreSQL
    Réponses: 6
    Dernier message: 26/01/2004, 18h36

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo