Un bug dans le fichier authplay.dll contenu dans Adobe Reader et Acrobat 9.x permet l’exécution de code à distance

Les laboratoires Antimalwares BitDefender ont réalisé une mise à jour d’urgence pour permettre la détection d’un exploit de type « zero-day » affectant les applications Adobe Reader, Acrobat et Flash Player. Comme les précédents exploits Adobe, le vecteur de l’attaque est un fichier PDF malformé contenant à la fois un javascript spécialement conçu et intégrant un fichier .SWF. Répertorié sous le nom de CVE-2010-1297, l’exploit est actuellement en circulation.

Une fois ouvert, le javascript entraîne le déchiffrement d’un code shell auquel sera ensuite appliquée la technique du « heap-spraying ». Si le fichier PDF est ouvert dans un navigateur (ce qui est la situation la plus courante pour des liens placés sur des pages web compromises, des forums, envoyés par e-mail ou par messagerie instantanée), le fichier SWF incorporé force l’exécution du code shell auquel a été appliqué le « heap-spraying ». Une fois exécuté, le code shell décompresse et dépose un fichier binaire nommé c:\-.exe.

Cette courte vidéo (en anglais) présente l’attaque.

Le fichier malveillant déposé provoque par la suite le téléchargement à distance d’un fichier infecté . Une DLL secondaire est également déposée dans le dossier %windows%\system32 (écrasant un fichier système) et injectée dans une instance de SVCHOST.EXE. Une fois en place, le fichier dll agit en tant que backdoor et commence à envoyer au serveur distant des informations critiques sur le système infecté.

Ces informations comprennent l’adresse IP locale, le serveur DHCP (si activé), le masque de sous-réseau, la passerelle par défaut ainsi que le type de processeur et sa fréquence. Certains détails concernant le système d’exploitation sont également recueillis, tels que les informations utilisateur, les derniers patchs de mise à jour installés, les ressources du réseau, les applications et services installés ainsi que des informations relatives au navigateur.

Veuillez noter qu’Adobe considère cette vulnérabilité comme critique et qu’elle affecte les applications suivantes :

• Adobe Flash Player 10.0.45.2 et les versions antérieures pour Windows, Macintosh, Linux et les systèmes d’exploitation Solaris.

• Adobe Reader et Acrobat 9.x pour Windows, Macintosh et les systèmes d’exploitation UNIX (en raison du sous-composant authplay.dll livré avec les deux applications).

Au moment où nous rédigeons cet article, aucun patch de l’éditeur ne permet de pallier les effets de l’attaque. Afin de rester en sécurité, nous recommandons aux utilisateurs d’installer et de mettre à jour régulièrement une solution antimalware complète et d’être particulièrement prudents lorsqu’ils ouvrent des fichiers PDF reçus sous forme de pièces jointes ou de liens envoyés par e-mail ou par messagerie instantanée.

BitDefender a déjà répertorié ces menaces sous les noms suivants : Exploit.SWF.J (pour le fichier PDF avec un composant swf malveillant), Exploit.JS.PDFJSC.1 (pour le javascript), Trojan.Downloader.JNDN (pour le fichier binaire téléchargé) et Backdoor.Agent.AAQJ (pour le composant backdoor déposé).

Pour plus d’informations concernant les produits BitDefender, vous pouvez consulter : BitDefender.fr