Que sont les exploits et pourquoi nous font-ils si peur ?

31 Juil 2015

Les experts en sécurité ont souvent décrit les exploits  ainsi que la sécurité des données et des systèmes comme un problème très sérieux. Même si ce n’est pas toujours évident de comprendre la différence entre exploits et malware en général, nous allons essayer de l’expliquer ici.

Qu’est-ce qu’un exploit ?

Les exploits sont une partie d’un malware. Ces programmes malveillant contiennent des données ou des codes exécutables qui sont capables de tirer parti d’une ou de plusieurs vulnérabilités dans un logiciel en marche sur un ordinateur local ou à distance.

En d’autres mots : vous avez un navigateur et il contient une vulnérabilité qui permet le fonctionnement d' »un code arbitraire »  dans votre système sans que vous ne le sachiez (c’est-à-dire, installer ou lancer certains programmes malveillants). La plupart du temps, la première étape pour les attaquants et de permettre une élévation des privilèges, de cette façon, ils peuvent faire tout ce qu’ils veulent avec le système attaqué.

Les navigateurs, comme Flash, Java et Miscrosoft Office font partis des catégories de logiciels les plus ciblés. Du fait que beaucoup de personnes les utilisent, ils sont examinés activement par les experts en sécurité ainsi que les sortes de pirates. Les développeurs doivent sortirent des correctifs régulièrement afin de fixer ces vulnérabilités. C’est encore mieux s’ils fixent les problèmes en une fois, mais malheureusement ce n’est pas le cas. Par exemple, vous devriez fermer tous vos onglets du navigateur ou tous vos documents lorsque vous faites une mise à jour.

Un autre problème que l’on a remarqué concerne les exploits et les vulnérabilités que nous ne connaissons pas encore. Les pirates les ont découverts et en ont abusés : il s’agit des zero day (en français « jour 0 »). Les vendeurs peuvent prendre beaucoup de temps avant de réaliser qu’il y a un problème et de le résoudre.

Les voies infectées

Les cybercriminels préfèrent souvent utiliser des exploits plutôt que d’autres méthodes d’infection comme l’ingénierie sociale, car il y a un risque qu’elles ne fonctionnent pas, tandis que l’usage des vulnérabilités continue de produire les résultats souhaités.

Il y a deux façons par lesquelles les utilisateurs peuvent être infectés par les exploits. La première consiste à visiter un site qui contient un code d’exploit malveillant. La deuxième se fonde sur le fait d’ouvrir un fichier qui parait légitime mais qui contient un code malveillant caché à l’intérieur. Comme vous pouvez le constater, l’exploit vient souvent par le biais d’un spam ou d’un email d’hameçonnage.

Comme l’on peut remarquer dans Securelist, les exploits sont conçus pour trouver des versions spécifiques de logiciels qui contiennent des vulnérabilités. L’exploit se déclenche si les utilisateurs font que cette version du logiciel ouvre l’objet malveillant, ou si un site internet utilise ce software pour fonctionner.

Une fois qu’il passe par le biais de vulnérabilités pour avoir accès à votre ordinateur, l’exploit télécharge des malwares additionnels à partir du serveur du criminel qui effectue une activité malveillante. Celle-ci peut prendre forme de vol des données personnelles, d’utilisation de l’ordinateur au sein d’un botnet afin de distribuer des spams ou d’effectuer des attaques par déni de service distribué (DDoS), ou tout autre attaque que le pirate essaye de faire.

Les exploits représentent une menace même pour les utilisateurs qui sont au courant de leur existence, qui sont attentifs et qui font régulièrement les mises à jour de leur logiciel. Cette situation est due à un décalage entre la découverte de la vulnérabilité et la sortie du correctif pour la réparer. Pendant ce temps, les exploits sont capables de fonctionner librement et de menacer la sécurité de presque tous les utilisateurs d’Internet, à moins que des outils automatiques n’empêchent les attaques d’exploits.

Et n’oubliez pas ce qu’on a dit antérieurement à propos du « syndrome des onglets ouverts » : il y a un prix à payer pour une mise à jour et de nombreux utilisateurs ne sont pas prêts à le payer immédiatement après la sortie d’un patch.

Les exploits fonctionnent en groupe

Les exploits sont souvent regroupés de telle manière qu’afin d’attaquer un système, ils inspectent les moindres recoins de celui-ci afin de trouver des vulnérabilités. Ce n’est qu’au moment où ils détectent une ou plusieurs failles que l’exploit le plus adapté peut entrer dans le système. Les kits d’exploits utilisent couramment des codes impénétrables pour éviter la détection et le chiffrement des chemins d’accès des URL pour empêcher les chercheurs de leur enlever leur accès root.

Parmi les plus connus se trouvent :

Angler : un des kits les plus sophistiqués sur le marché clandestin. Celui-ci a changé la donne après qu’il ait commencé à détecter des antivirus et des machines virtuelles (souvent utilisé par les chercheurs en matière de sécurité comme honeypots), et après qu’il ait développé des fichiers dropper chiffrés. C’est l’un des kits les plus rapides à intégrer les nouvelles vulnérabilités zero day, ses malwares fonctionnent de mémoire et il n’a pas besoin de réécrire le disque dur de ses victimes. Sa description technique se trouve ici.

Le pack Nucléaire : il touche ses victimes avec des exploits Java et Adobe PDF, ainsi qu’en lâchant un Caphaw – un cheval de Troie bancaire sérieux. Vous pouvez en lire plus ici.

Neutrino : un kit russe qui contient peu d’exploit Java, il a fait la une l’année dernière car son propriétaire a dû le mettre en vente pour le prix modeste de 34 000 $ (environ 31 000 €). Ce fut probablement après l’arrestation d’un certain Paunch, créateur du prochain kit d’exploit que nous allons évoquer.

Blackhole Kit : la menace Internet la plus courante en 2012. Cet exploit cible les vulnérabilités dans les vieilles versions des navigateurs comme Firefox, Chrome, Internet Explorer et Safari ainsi que des plugins très populaires comme Adobe Flash, Adobe Acrobat et Java. Après avoir attiré une victime ou après l’avoir redirigée a une page de renvoi, le kit d’exploit analyse ce que se trouve sur son l’ordinateur et télécharge tous les exploits adéquates pour les vulnérabilités trouvés.

Blackhole, contrairement aux autres kits d’exploits, a une page sur Wikipédia, même si après l’arrestation de Paunch, le kit a presque disparu.

Conclusion

Les logiciels de sécurité ne peuvent pas toujours détecter les exploits. Afin de les déceler avec succès, les logiciels de sécurité devraient utiliser une analyse comportementale, c’est la seule bonne façon de vaincre les exploits. Il y existe de nombreux programmes malwares et ils sont variés, mais la plupart ont des modèles comportementaux similaires.

La sécurité Internet Kaspersky, ainsi que d’autres produits vedettes de Kaspersky Lab utilisent une technologie appelée Automatic Exploit Prevention ainsi que les informations reçues à propos des comportements les plus typiques des exploits connus. Le comportement caractéristique de tels programmes malveillants aide à empêcher les infections même dans le cas d’un exploit zero day comme nous l’avons mentionné auparavant.

 Plus d’information sur la technologie Automatic Exploit Prevention est disponible ici.