Auteur Sujet: PDF malveillants: les hackers ne manquent pas d'idées  (Lu 449 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 42 066
    • Twitter LaFibre.info
PDF malveillants: les hackers ne manquent pas d'idées
« le: 24 mai 2022 à 16:12:46 »
Pour vous un PDF, c'est comme une image Jpeg, très peu risqué en terme de logiciels malveillants ?

C'est sans compter l'imagination des pirates qui apprécie le fait que Google référence bien les PDF.

Il faut surtout se méfier :
- Des documents insérés dans un PDF (un PDF peut maintenant intégrer des éléments tiers, comme un fichier .docx)
- Des liens

Bref ouvrir un PDF oui, mais faire attention au moindre clic demandé.


Le cas suivant, détecté par l’entreprise de sécurité Netskope est bien pensé : Il visent les PC Windows équipé de Microsoft Word (non mis à jour depuis au moins 4 ans) et Adobe Acrobat Reader.

Les victimes reçoivent un mail avec, en pièce jointe, un fichier PDF se faisant passer pour une facture. Une fois que ce fichier PDF est ouvert, Adobe Acrobat Reader demande aux utilisateurs s’ils souhaitent ouvrir le fichier DOCX intégré dans le PDF. Adobe met un message d'avertissement, et les auteurs de l'attaque se sont attaqué à ce message en nommant leur fichier « has been verified. However PDF, Jpeg, xlsx, .docx ».

Voici ce que cela donne sur un système en langue anglaise :


Bref, l'utilisateur risque de comprendre que le fichier a été vérifié et cliquer sur ouvrir. Une fois Microsoft Word ouvert, si les macro sont activées, il va télécharger un fichier RTF sur internet et tenter d'utiliser une vulnérabilité d’exécution de code à distance de l’éditeur d’équations de Microsoft (CVE-2017-11882). Cette faille est corrigée depuis 4 ans, mais de nombreux Word piraté ne sont jamais mis à jour et même certaines entreprises avec licence Office ne mettent pas à jour Word.

Si l’ordinateur n'est pas à jour, le code du fichier RTF téléchargé va installer le malware Snake Keylogger permettant de récupérer login / mot de passe et carte de crédit.

vivien

  • Administrateur
  • *
  • Messages: 42 066
    • Twitter LaFibre.info
PDF malveillants: les hackers ne manquent pas d'idées
« Réponse #1 le: 05 juin 2022 à 21:45:12 »
On n'arrête pas le progrès avec la CVE-2022-30190 : Possibilité d'infecter un PC via un fichier RTF (format simple de fichier de texte qui contient des balises de mise en page et ne dépend pas d'un logiciel spécifique) sans que le client ait besoin de l'ouvrir. La prévisualisation dans le gestionnaire de fichier avec Word est suffisante.

Les PC qui utilisent LibreOffice ne sont pas impactés, il faut avoir MS Office (L'attaque par macros Word-RTF fonctionne sur les produits Office 2021, Office 2019, Office 016 et Office 2013 entièrement corrigés).

La faille est dans le binaire légitime Microsoft Support Diagnostic Tool (MSDT), il est activement exploité et il n'y a pas encore de correctif.

Bulletin d'alerte du CERT-FR

Le 27 mai 2022, un chercheur a identifié un document Word piégé sur la plate-forme Virus Total. Lorsque ce document est ouvert, l'un des objets OLE (Object Linking and Embedding) présent dans celui-ci télécharge du contenu situé sur un serveur externe contrôlé par l'attaquant. Ce contenu exploite une vulnérabilité permettant d'exécuter du code malveillant via le binaire légitime Microsoft Support Diagnostic Tool (MSDT), msdt.exe, sous la forme d'un script Powershell encodé en base 64. Il convient de noter que cette attaque fonctionne y compris lorsque les macros sont désactivées dans le document Office.

Le 30 mai 2022, Microsoft a publié un avis de sécurité (cf. section Documentation) dans lequel l'éditeur confirme la vulnérabilité, qui porte l'identifiant CVE-2022-30190, ainsi que les versions vulnérables du système d'exploitation Windows.

Dans un billet de blogue du même jour (cf. section Documentation), Microsoft indique que si le fichier est ouvert par une application Office, le mode Protected View ou Application Guard for Office est enclenché et empêche la charge utile de s'exécuter.

Toutefois, plusieurs chercheurs affirment que cette vulnérabilité peut être exploitée à l'aide d'un document au format RTF. Dans ce cas, la charge utile peut ainsi être récupérée et exécutée lorsque le document est prévisualisé (par exemple dans Windows Explorer) et donc sans qu'il ne soit ouvert par l'utilisateur.

Cette vulnérabilité semble être utilisée dans des attaques ciblées et Microsoft n'a pas annoncé de date de publication d'un correctif.

alain_p

  • Abonné Free fibre
  • *
  • Messages: 13 557
  • Delta S 10G-EPON sur Les Ulis (91)
PDF malveillants: les hackers ne manquent pas d'idées
« Réponse #2 le: 05 juin 2022 à 22:22:20 »
Oui, j'en ai entendu parler. Elle aurait été appelée Follina par ses découvreurs. Cela exploite donc l'outil troubleshooter de Microsoft. La seule protection suggérée par Microsoft serait de désactiver MSDT sur les PCs en supprimant une clé de registre ce qui n'est pas très pratique :

    Run Command Prompt as Administrator.
    To back up the registry key, execute the command “reg export HKEY_CLASSES_ROOT\ms-msdt filename“
    Execute the command “reg delete HKEY_CLASSES_ROOT\ms-msdt /f”.

How to undo the workaround

    Run Command Prompt as Administrator.
    To restore the registry key, execute the command “reg import filename”

https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

vivien

  • Administrateur
  • *
  • Messages: 42 066
    • Twitter LaFibre.info
PDF malveillants: les hackers ne manquent pas d'idées
« Réponse #3 le: 10 juin 2022 à 09:28:43 »
La faille Follina (infection d'un PC via un fichier ouvert dans Word qui fait un appel à MSDT, "Microsoft Support Diagnostic Tool" est maintenant activement exploitée.

Le code fonctionne sur toutes les versions de Microsoft Office y compris avec les dernières mises à jour.

Le problème avait déjà été signalé à Microsoft en avril 2022 par Shadow Chaser Group, une équipe d'étudiants qui chasse les failles. Un dénommé John, du Microsoft Security Response Center (MSRC), s'était alors contenté de dire que ce n'était pas un problème de sécurité, et que l'échantillon soumis ne fonctionnait pas sur son ordinateur.

Microsoft semble avoir changé d'avis, mais à l'heure actuelle, il n'existe pas de moyen simple de se protéger de cette attaque, il faut obligatoirement modifier le registre pour empêcher le lancement de l'outil de diagnostic depuis Word.

LeNuageux

  • Abonné Bbox fibre
  • *
  • Messages: 117
  • Mulhouse (68)
PDF malveillants: les hackers ne manquent pas d'idées
« Réponse #4 le: 10 juin 2022 à 10:22:54 »
Dans un environnement d'entreprise il est possible de pousser une GPO :

Modèle d'administration\Système\Dépannage et diagnostics\Diagnostics à base de script

Désactiver "Dépannage : autoriser les utilisateurs à exécuter les Assistants Dépannage"

source : https://twitter.com/gentilkiwi/status/1531384447219781634