Passer au contenu

Cette faille zero-day dans Windows était utilisée par un puissant logiciel d’espionnage

Des chercheurs ont découvert, une fois de plus, une faille zero-day utilisée pour diffuser FinSpy, un produit vendu par l’éditeur Gamma aux agences gouvernementales pour faire de « l’interception légale ».

L’activité des éditeurs de logiciels d’espionnage ne fléchit pas, comme le prouve la récente découverte des chercheurs en sécurité de FireEye. En juillet dernier, ces derniers ont mis la main sur un document Microsoft Office RTF piégé qui exploitait une faille de sécurité jusqu’alors inconnue (CVE-2017-8759) permettant de prendre le contrôle de la machine. En occurrence, il s’agissait d’une brèche dans le module d’analyse syntaxique WDSL du framework .NET qui, dans certaines conditions, permettait d’injecter et exécuter du code arbitraire. Cette faille a été corrigée le 12 septembre, à l’occasion du dernier « Patch Tuesday ». Il est vivement conseillé de mettre à jour son système car un code permettant d’exploiter cette faille circule d’ores et déjà sur le web. 

L’aspect le plus intéressant de cette découverte, c’est que l’exploitation de cette faille s’accompagne de l’installation du redoutable logiciel d’espionnage FinSpy que la société Gamma vend aux agences gouvernementales du monde entier. Reporters Sans Frontières a classé Gamma comme l’une des cinq « sociétés ennemies d’Internet » en 2013. Dans le cas présent, le logiciel d’espionnage FinSpy s’installe sous la forme d’un fichier d’image (« left.jpg »). En réalité, c’est évidemment un exécutable « qui contient du code très impénétrable et intègre une machine virtuelle pour rendre l’analyse par rétro-ingénierie plus difficile », souligne FireEye dans une note de blog.

Deux failles zero-day en l’espace de quelques mois

La cible de cette attaque était très probablement une personne de langue russe. Le document piégé était en effet intitulé « Проект.doc », ce qui signifie « projet » en russe. Ce n’est pas la première que FireEye détecte une faille zero-day servant à diffuser le logiciel FinSpy. En avril dernier, les chercheurs avaient mis la main sur une faille similaire permettant, grâce à un document RTF piégé, d’exécuter du code Visual Basic. Là encore, l’intitulé du document était en russe. « Ces découvertes montrent que les sociétés d’interception légale et leurs clients disposent d’importantes ressources », souligne FireEye. Chez Zerodium, qui achète des « exploits » auprès des hackers, une faille zero-day permettant l’exécution de code dans Windows vaut plusieurs dizaines voire centaines de milliers de dollars.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN