Le blues de la détection de malware Jerome Saiz le 16 octobre 2013 à 11h15, dans la rubrique Menaces Commentaire (1) anti-virusexploitmalwaremicrosoftword Le dernier email infecté reçu à la rédaction illustre parfaitement la difficulté de la lutte contre les malwares. Un faux courrier en provenance (soit-disant) du transporteur UPS arrive avec deux pièces jointes et une URL dans son texte. Si l’on en croit le message, il s’agit d’une facture à régler. Elle est bien évidemment fausse… au premier sens du terme ! Mais l’analyse des éléments malveillants de ce courrier est très instructive. La première des pièces jointes est un exécutable Windows dissimulé derrière une double extension (PDF.exe, une astuce vieille comme Windows). La seconde est un document Word. L’URL mentionnée dans le texte, enfin, pointe vers un nom de domaine déposé en Chine il y a moins de 24h. Elle conduit à une page web hébergée sur un serveur basé en Inde. Une fois visité, celui-ci force le navigateur à télécharger une copie du document Word infecté présenté ci-dessus, via un script PHP. L’analyse de ces deux pièces jointes par Virustotal est édifiante : – L’exécutable Windows n’est détecté que par 12 antivirus sur 47 (25% de taux de détection), alors que la campagne email semble déjà bien entamée (nous ne sommes pas les seuls à avoir reçu ce courrier et l’URL malveillante a déjà 24 heures). Il s’agirait d’un vulgaire cheval de Troie embarquant un bot. La seule présence d’une double extension exécutable devrait lever des alertes chez le premier antivirus venu. Et pourtant, c’est loin d’être le cas, puisque 75% des antivirus n’y voient que du feu. – Pire : le document Word est infecté par un exploit pour une vulnérabilité connue et corrigée depuis l’année dernière (CVE-2012-0158). Le bulletin d’alerte de Microsoft, daté du 10 avril 2012, la présente comme une vulnérabilité critique dans les contrôles communs de Windows. Et pourtant, 18 mois plus tard, seulement 16 antivirus sur 48 détectent l’exploit associé, soit à peine un tiers d’entre eux (et même l’antivirus de Microsoft rate la présence d’un exploit pour une vulnérabilité publiée par lui-même 18 mois plus tôt, qu’il a déjà corrigée et qui arrive dans un fichier au format maison). Il est intéressant de noter à ce stade que des trois grands antivirus gratuits (AVG, Avast et Antivir!), seul ce dernier a détecté les deux menaces. Avast n’a rien détecté du tout et AVG n’a repéré que le malware Word. L’analyse de l’URL mentionnée dans le courrier n’est guère plus concluante, voire même elle est plus alarmante : aucun des 39 des services de réputation web utilisé n’a flairé le piège. Pire : seulement 7 d’entre eux précisent avec honnêteté que cette URL leur est inconnue. Les 32 autres (soit 82%, quand même !) indiquent que l’adresse est « propre ». Ce qui est bien évidemment loin d’être le cas, considérant qu’à sa visite un document Word infecté est téléchargé par le navigateur. On parle pourtant ici de services de réputation en ligne dont la tâche est justement d’identifier les URLs malveillantes utilisées dans le cadre d’attaques de ce type… Et 82% d’entre eux considèrent donc cette adresse comme « propre » (et pas seulement « inconnue », mais bien « propre »), induisant en erreur un utilisateur potentiel. Résumons : pour ce qui concerne la pièce jointe exécutable, l’on peut argumenter que l’exploit est peut-être compressé par un « packer » méconnu, qu’il est peut-être chiffré, ou qu’il a été modifié très récemment. Les résultats sont donc certes clairement mauvais du point de vue de l’utilisateur et les vendeurs d’antivirus n’ont pas de quoi parader. Mais l’on peut comprendre que la tâche soit compliquée, car elle l’est ! D’ailleurs l’attaque semble avoir débuté le 16 octobre et la plupart des antivirus utilisés pour cette évaluation avaient été mis à jour le 16 octobre également (certains seulement le 15 octobre). Il s’agit donc pour beaucoup surtout d’un test de leurs capacités génériques ou, au mieux, de la capacité de leur éditeur à prendre en compte une menace le jour même. Ca ne change rien pour l’utilisateur qui a choisi le mauvais antivirus, mais l’on veut bien admettre que la tâche soit difficile. En revanche seule une minorité des antivirus du marché est en mesure de détecter un document Word infecté par un exploit pour une vulnérabilité vieille d’un an et demi et déjà corrigée, distribué depuis une URL dont le nom de domaine a été déposé en Chine il y a moins de 24h. Et ça, c’est un vrai problème. Rappelons qu’il s’agit ici du degré zéro de la cybercriminalité. L’équivalent de la délinquance de cage d’escalier. Et la majorité de nos antivirus est donc incapable de nous en protéger. De quoi remettre en perspective la grande mode des APT. S’il suffit d’un document Word et d’une vieille vulnérabilité pour infecter à tour de bras, l’on n’a pas vraiment besoin d’attaquants chinois… Note : les score de détection visibles dans les liens mentionnés dans cet article sont appelés à s’améliorer avec le temps. Pour avoir une vue de la situation à la date de la rédaction, vous pouvez télécharger les rapports de détection au format PDF ici : Exécutable Windows Document Word URL malveillante Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!