Intrapole
VOUS  TES ICI : Accueil » Alertes Sécurité »

Le botnet Zeus exploite une faille PDF

Publié le vendredi 16 avril 2010par Stéphane Larcher

Selon RSA, le botnet pourrait affecter près de 90% des 500 plus grandes entreprises mondiales.

Une semaine, pas plus ! Voici huit jours, plusieurs experts estimaient qu’il faudrait moins d’une semaine pour que des hackers exploitent la faille /Launch qui affecte les documents PDF. Une fois n’est pas coutume, les spécialistes ne se sont pas trompés et c’est le botnet Zeus, le plus important au monde, qui s’y colle. Une variante de Zeus utilise un fichier PDF corrompu qui embarque un code d’attaque en son sein, a précisé le Directeur technique de WebSense. Lorsque les utilisateurs ouvrent le fichier PDF, ils sont invités à sauvegarder un fichier intitulé ’Royal_Mail_Delivery_Notice.pdf’ sensé provenir de la poste britannique. Ce fichier contient un exécutable Windows qui prend le contrôle du PC.

Zeus est le premier Botnet à utiliser ce qui n’est pas à franchement parler une faille mais un défaut de conception dans l’ouverture de fichiers PDF. En effet, au début du mois de mai, un chercheur belge, Didier Stevens avait démontré qu’il était possible d’utiliser à des fins d’attaques la fonction /Launch des PDF, avec une copie entièrement patchée d’Acrobat. Selon Stevens et d’autres experts, le botnet Zeus utilise une technique d’exploit dévoilée au mois d’août 2009 à l’occasion de la Balck Hat de Las Vegas.

Selon WebSense, l’attaque menée par Zeus est en phase ascendante et comme à son habitude, l’objectif est de dérober des informations sur les PC des victimes : logins, mots de passe, informations bancaires ….

Pour le moment, Adobe n’a pas publié de correctif bien que la société ait reconnu l’existence du bug. Actuellement, il convient de désactiver la fonction d’ouverture automatique des fichiers PDF pour se protéger. Notons que, pour le moment, cette fonction est activée par défaut et la première mesure que pourrait prendre Adobe serait de livrer une mise à jour du Reader et d’Acrobat dans laquelle la fonction serait désactivée par défaut.

Cette nouvelle attaque intervient au lendemain d’une étude publiée par RSA Security, laquelle indique que près de 90% des entreprises du Fortune 500 ont potentiellement été touchées par le botnet Zeus. Présent depuis 2007, ce botnet a pour le moment été rencontré dans 196 pays.

A lire également

PDF toujours plus vulnérable

Source : linformaticien