Peu de temps après avoir lancé ce blog, j’ai écrit sur les dommages causés par Eleonore Exploit Kit, un outil de piratage commercial de plus en plus répandu qui permet aux criminels de piéger facilement des sites Web avec des logiciels malveillants. Ce message a suscité un énorme intérêt public car il offrait un aperçu de la page de statistiques que seuls les criminels utilisant ces kits peuvent normalement voir. Je reviens sur ce sujet parce que j’ai réussi à jeter un œil à un autre panneau de pack d’exploits Eleonore en direct, et les données semblent renforcer une observation précédente : les attaquants d’aujourd’hui se soucient moins du navigateur que vous utilisez et plus de savoir si votre navigateur tiers les modules complémentaires et les plugins sont obsolètes et exploitables.
Les sites piratés et malveillants équipés de kits comme Eleonore sont devenus plus courants ces derniers temps : dans un rapport publié cette semaine, la société de sécurité Web Échelle Z ont constaté qu’environ 5% des exploits de navigateur qu’ils ont identifiés au cours du premier trimestre de cette année étaient liés à des sites piratés ou malveillants que les criminels avaient équipés d’une version d’Eleonore.
Comme la plupart des kits d’exploitation, Eleonore est conçu pour sonder de manière invisible le navigateur du visiteur à la recherche de vulnérabilités de sécurité connues, puis utiliser le premier trouvé comme véhicule pour installer silencieusement des logiciels malveillants. La fin du kit pour les pirates est une interface Web qui présente des statistiques détaillées sur le pourcentage de visiteurs du ou des sites piégés qui sont attaqués avec succès, et quelles vulnérabilités logicielles ont le plus réussi à conduire à l’installation du pirate. logiciels malveillants.
Ce kit Eleonore particulier – qui est actuellement intégré à plusieurs sites Web pour adultes en direct – est livré avec au moins une demi-douzaine d’exploits de navigateur, dont trois qui ciblent Internet Explorer défauts, deux qui attaquent Java bugs, et un qui cible une gamme de Lecteur Adobe PDF vulnérabilités. Selon la page de statistiques de ce kit, les sites malveillants pour adultes parviennent à infecter environ un visiteur sur dix.
Comme nous pouvons le voir sur la page de destination illustrée ci-dessus, Windows XP les utilisateurs représentent de loin le plus grand groupe d’utilisateurs qui visitent ces sites pornographiques empoisonnés.
Une fois de plus, Eleonore montre à quel point les failles Java sont désormais utilisées pour infecter les ordinateurs (le graphique ci-dessus montre le nombre d’installations réussies de logiciels malveillants ou de « charges » par exploit). La dernière fois que j’ai passé en revue un panneau d’administration Eleonore fonctionnel, nous avons vu que les failles Java étaient les deuxièmes exploits les plus fiables. Cette fois-ci, Java était la plus grande source d’infections. Dans le kit Eleonore dont j’ai parlé plus tôt cette année, environ 34 % des systèmes qui ont été exploités avec succès ont été attaqués via une faille Java. Dans cette installation, quatre victimes sur dix qui ont été piratées ont été compromises car elles exécutaient une version obsolète de Java.
Près d’un tiers de toutes les attaques réussies de ce kit Eleonore ont exploité les failles des anciennes versions du lecteur PDF d’Adobe. Les gens se moquent souvent lorsque je recommande une alternative à Adobe pour l’affichage des PDF, disant que les criminels peuvent tout aussi facilement cibler les vulnérabilités de sécurité dans ces applications, qui fournissent beaucoup moins de mises à jour de sécurité qu’Adobe. C’est peut-être vrai, mais je n’ai pas vu beaucoup de preuves que les pirates s’attaquent aux failles des lecteurs PDF non Adobe à un niveau appréciable ou comparable. Par ailleurs, si vous utilisez le lecteur PDF gratuit de Foxitune alternative à Adobe que j’ai souvent recommandée, il faut savoir que Foxit a récemment expédié une nouvelle version — v.3.31 – qui inclut des améliorations de sécurité.
J’ai également trouvé cette fois-ci des pourcentages similaires de victimes d’exploits parmi ceux qui surfent avec différentes versions d’Internet Explorer. Avec ce kit Eleonore, plus d’un tiers de ceux qui ont visité le site de l’exploit avec IE6 ont été chargés de logiciels malveillants. Le panneau d’administration d’Eleonore a signalé que plus de 12 % des utilisateurs d’IE7 et 20 % des internautes d’IE8 ont visité et ont ensuite été infectés par des logiciels malveillants. La prévalence des utilisateurs d’IE parmi les victimes peut être due en partie au fait que la moitié des exploits utilisés par ce kit particulier ciblent les failles de sécurité d’IE.
Malheureusement, cette page d’administration d’Eleonore ne résout pas l’une des questions ouvertes que j’ai entendues le plus fréquemment après mon dernier article sur Eleonore : où sont toutes les victimes de Firefox ? Je n’ai toujours pas de réponse décente à cette énigme, mais j’ai quelques suppositions. D’une part, contrairement au dernier kit Eleonore que j’ai examiné, celui-ci n’inclut pas d’exploit spécifiquement pour Firefox. Il est également possible que ces kits détectent les visiteurs de Firefox comme des utilisateurs d’un autre navigateur (le rapport indique, par exemple, que 15 % des Google Chrome les utilisateurs naviguant avec la version 4.1 ont été attaqués avec succès). Quelle que soit la raison, il semble hautement improbable que les quelque 5 600 utilisateurs de Firefox qui ont visité les sites d’exploits détaillés ici en soient sortis indemnes.
Quoi qu’il en soit, voici les statistiques, qui commencent par celles des visiteurs de Chrome et Firefox :
…plus de statistiques Firefox puis IE, Opera et Safari…
