Désamorcer les exploits sur Adobe Flash

4 Août 2016

Dites-moi ce que vous pensez d’Adobe Flash et je vous dirai si vous travaillez dans la cybersécurité. Pour la plupart d’entre nous, Flash est quelque chose que le navigateur demande de mettre à jour avant de lancer une vidéo virale. Ceux qui s’y connaissent en technologie sont susceptibles de devenir fous de rage rien qu’à l’idée de penser qu’il puisse y avoir la moindre insécurité sur la plateforme, une occasion de semer le chaos facilement.

Disarming Flash exploits

En réalité, Adobe Flash se trouve dans le top de notre liste des programmes les plus exploitables en 2015. Parmi eux, on peut également trouver quelques noms connus tels que Java, Adobe Reader, Microsoft Office et Silverlight. En plus d’être extrêmement populaire, et lourdement affecté par des vulnérabilités, les utilisateurs ne mettent pas à jour Adobe Flash aussi souvent qu’ils le devraient.

C’est dans cette perspective que nous sommes ravis de vous annoncer que Kaspersky Lab s’est vu attribué un brevet de technologie étant d’une aide particulière pour combattre le type d’exploit qui affecte en particulier les utilisateurs de Flash.

En quoi les exploits sur Flash sont-ils différents ?

On est heureux que vous nous posiez la question. Pour répondre simplement, nous devons évoquer un petit bout d’histoire. En résumé, il existe deux façons d’infecter un ordinateur. La première méthode provient directement de votre implication : en téléchargeant et en lançant un fichier exécutable, en ouvrant un document avec des macros malveillants, ou en cliquant sur une URL malveillante, et j’en passe.

La seconde méthode n’a pas du tout besoin de votre aide. Dans ce cas, les cybercriminels trouvent et exploitent une vulnérabilité dans votre système d’exploitation ou dans un des programmes que vous avez installé et utilisé. Si par exemple un navigateur contient une vulnérabilité, le simple fait d’ouvrir une seule page web malveillante peut suffire. (Les lecteurs de Kaspersky Daily ne savent que trop bien que les sites web malveillants se trouvent en masse).

La manière la plus simple d’infecter un ordinateur est sur Internet, par conséquent les exploits des sites web sont extrêmement populaires chez les cybercriminels. Ils n’exploitent pas nécessairement des vulnérabilités d’exploits sur les navigateurs ; mais obtiennent également l’accès aux composants de Java et d’Adobe Flash Player, qui sont chargés de la lecture multimédia sur un site web.

Gardez à l’esprit que les vidéos Flash ne s’ouvrent pas comme des fichiers dans un programme mais comme des programmes existants. Ils sont téléchargés en même temps que d’autres contenus d’un site web, mais s’exécutent séparément ensuite, avec l’aide du composant d’Adobe Flash installé sur votre système. Cependant, le processus s’avère un peu plus complexe. Pour exécuter ces programmes en toute sécurité, Adobe Flash les exécute dans son propre environnement virtuel. En d’autres termes, ces programmes sont exécutés sur une simulation informatique dans votre ordinateur.

Par conséquent, une machine virtuelle peut sécuriser Flash ?

Bonne question ! Flash exécute des fichiers dans un environnement virtuel protégé parce qu’exécuter un code provenant du fin fond d’Internet est risqué. Exécuter le code entier sans une machine virtuelle signifie que si n’importe quel code téléchargé sur Internet essaie d’effectuer n’importe quoi sur votre ordinateur, il ne peut pas accéder à vos fichiers et documents, ou aux composants critiques du système d’exploitation. Mais cela est vrai uniquement dans la théorie. Dans la pratique, les exploits peuvent contourner les mesures de sécurité de Flash (par exemple la virtualisation), en utilisant des vulnérabilités d’Adobe Flash.

Il existe un autre problème : la nature même du fichier et de la machine virtuelle de Flash fait d’eux un environnement favorable pour dissimuler des intentions d’acteurs de menaces sur le système. Il est même possible pour les hackers de créer un fichier unique pour chaque victime.

Cela représente un problème en particulier pour la détection des antivirus traditionnels, qui dépendent d’énormes listes de fichiers pour détecter des malwares. Tous ces millions d’exploits travaillent de la même façon, mais pour une solution de sécurité en revanche, ils semblent être différents. De plus, les programmes d’Adobe Flash peuvent être rédigés dans l’un des trois langages de programmation. Ce qui ajoute une complexité supplémentaire au système chargé de détecter du contenu malveillant parmi le contenu légitime de Flash.

Si on ne peut pas se fier aux noms des fichiers, et que l’environnement virtuel est instable, qu’est-ce qu’on peut faire ?

Voici une question qui a posé une colle à la communauté de la sécurité informatique pendant pas mal d’années. Nous avions besoin d’une méthode pour identifier la nature malveillante du code avant de l’exécuter. En théorie, on pouvait exécuter le programme dans notre propre machine virtuelle avant de transmettre le code à Adobe Flash. Mais cette approche est trop complexe et demande beaucoup de ressources pour une utilisation pratique au quotidien. Même si ça ne prenait que quelques secondes, les utilisateurs sont habitués à la gratification instantanée en ligne.

Si ça ressemble à un exploit…

C’est là où la nouvelle technologie de Kaspersky Lab intervient. Conçue par Anton Ivanov et Alexander Liskin, et basée sur une émulation de code suspect, notre méthode prend moins de temps pour analyser une multitude d’objets similaires avec de légères différences. Les développeurs de cette méthode utilisent l’approche du processeur virtuel basé sur la pile, non pas pour exécuter le code mais pour recueillir des renseignements le concernant.

Il s’avère que les objets malveillants de Flash n’ont pas besoin d’être exécutés pour révéler leur vraie nature. Même les modifications que les développeurs de malwares introduisent sur presque tous les échantillons d’un code ne peuvent pas dissimuler les intentions malveillantes des programmes, à partir du moment où on applique notre méthode.

Enfin, aussi longtemps que nous aurons une méthode pour exploiter Flash, nous serons capables de bloquer automatiquement tous les malwares utilisant la même combine. Depuis que nous avons intégré cette technologie sur Kaspersky Internet Security et Kaspersky Total Security, notre taux de détection de ces menaces spécifiques a doublé.

Pour finir, on ajoutera que les entreprises spécialisées dans les antivirus luttent toutes vigoureusement pour que leurs taux de détection augmentent ne serait-ce que de quelques % ; doubler ce taux étant tout simplement spectaculaire.