S’il vous arrive de tomber sur un site Web qui effraie votre programme antivirus, il y a de fortes chances que la page que vous avez visitée fasse partie d’un site malveillant ou piraté qui a été équipé de ce qu’on appelle un « pack d’exploits ». Il s’agit de kits pré-emballés conçus pour sonder le navigateur du visiteur à la recherche de vulnérabilités de sécurité connues, puis utiliser le premier trouvé comme véhicule pour installer silencieusement des logiciels malveillants.
Les packs d’exploitation existent depuis des années et sont généralement vendus sur des forums souterrains obscurs. Une caractéristique constante des packs d’exploits est une page d’administration Web (illustrée ci-dessus), qui fournit à l’attaquant des statistiques en temps réel sur les victimes, telles que les exploits de navigateur qui fonctionnent le mieux et les navigateurs et versions de navigateur les plus attaqués.
L’un des plus populaires en ce moment est un kit appelé « Eleonore », et j’écris à ce sujet ici car il souligne l’importance de rester vigilant sur les correctifs. C’est aussi un rappel que parfois les exploits plus anciens ont plus de succès que la toute nouvelle variété qui fait la une de la presse technique.
Les captures d’écran de ce billet de blog ont été prises il y a quelques semaines à partir d’une installation fonctionnelle d’Eleonore (version 1.3.2) qui était liée à plusieurs sites Web pour adultes. Comme on peut le voir sur la première image, ce pack tente d’exploiter plusieurs vulnérabilités dans Adobe Reader, dont un qu’Adobe vient de corriger ce mois-ci. Le kit attaque également au moins deux Internet Explorer vulnérabilités, et une Java bogue. De plus, la meute s’attaque également à deux plutôt anciens Firefox vulnérabilités (de 2005 et 2006). Pour une liste partielle des exploits inclus dans ce pack, passez au bas de cet article.
Il est important de garder à l’esprit que certains de ces exploits sont indépendants du navigateur : par exemple, avec les exploits PDF, la vulnérabilité exploitée est le plug-in du navigateur PDF Reader, pas nécessairement le navigateur lui-même. Cela explique probablement les statistiques dans les images ci-dessous, qui montrent un taux de réussite assez élevé contre les utilisateurs d’Opera, Safari et Google Chrome. Dans les captures d’écran ci-dessous, les nombres sous le champ « trafic » indiquent le nombre de visiteurs du site malveillant utilisant cette version particulière du navigateur, tandis que le nombre de « charges » correspond au nombre de visiteurs pour cette version du navigateur qui ont été trouvés être vulnérable à une ou plusieurs des vulnérabilités exploitées par le pack Eleonore. Les champs « pourcentage » indiquent évidemment le pourcentage de visiteurs pour chaque type de navigateur spécifique qui ont été exploités avec succès (cliquez pour une version plus grande) :
Rien qu’en observant certaines de ces statistiques, il est clair que certains des exploits les plus réussis ciblent des vulnérabilités qui ont été corrigées il y a un certain temps. Dans quelques cas où j’ai souligné l’importance de corriger les vulnérabilités Java, par exemple, j’ai reçu des commentaires de certains lecteurs qui doutaient que quelqu’un ait jamais essayé d’attaquer les failles Java. Comme nous pouvons le voir sur la deuxième capture d’écran ci-dessus, l’exploit Java était la deuxième attaque la plus réussie (derrière un pack d’exploit qui attaque au moins trois failles Adobe Reader différentes).
Plus de statistiques Firefox (encore une fois, cliquez pour une version plus grande)
Voici les pannes d’Internet Explorer :
…et les statistiques Opera et Safari :
Les vulnérabilités exploitées par ce pack Eleonore incluent :
Pack PDF
PDF Nouvel exploit PDF (12/2009)
PDF collab.getIcon (4/2009)
PDF Util.Printf (11/2008)
PDF collab.collectEmailInfo (2/2008)
Exploits MS Internet Explorer
MS09-002 (Exploit Internet Explorer 7 1/2009)
MDAC – ActiveX (Exploit Internet Explorer, 3/2007)
Java
Javad0 (12/2008) – Calendrier Java (Java Runtime Environment (JRE) pour Sun JDK et JRE 6 Update 10 et versions antérieures ; JDK et JRE 5.0 Update 16 et versions antérieures ; et SDK et JRE 1.4.2_18 et versions antérieures)
Firefox
compareTo – exploit pour une vulnérabilité Firefox de 2005
jno – Exploit pour Firefox version 1.5.x (2006)