Une question que les ingénieurs de sécurité sont actuellement confrontés à des préoccupations de Silverlight de Microsoft. Comme vous avez pu le remarquer, MS juste patché une vulnérabilité critique dans Silverlight de Janvier 12 Patch Tuesday:
MS16-006: Mise à jour de sécurité pour Silverlight Adresse Exécution de code à distance, également disponible comme KB 3126036
Ceci est la description officielle de MS16-006 donnée par MS dans le bulletin de sécurité:
Cette mise à jour de sécurité corrige une vulnérabilité dans Microsoft Silverlight. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un utilisateur visite un site Web compromis qui contient une application Silverlight spécialement conçu. Un attaquant aurait aucun moyen de forcer un utilisateur à visiter un site web compromis. Plutôt, un attaquant devrait convaincre les utilisateurs de visiter le site, généralement en les incitant à cliquer sur un lien dans un message électronique ou instantané qui mène au site Web de l'attaquant.
En savoir plus sur Janvier 12 Patch Tuesday
Quel trouble experts de sécurité, comme les chercheurs de Kaspersky Lab, est que même si les exploits Silverlight ont été utilisés dans un petit nombre d'attaques, il ne faudra pas longtemps avant que ces attaques deviennent très répandue. Comme l'a souligné par des experts, Microsoft a dit peu de choses sur les exploits de Silverlight.
Pourquoi les vulnérabilités Silverlight une menace potentielle?
Silverlight vulnérabilités peuvent être trop semblables à des bogues de sécurité dans Flash Player. Ils permettraient acteurs de logiciels malveillants bien formés pour attaquer les victimes exécutant différents navigateurs et plates-formes. Les chercheurs de Kaspersky ont observé de telles attaques et pour l'instant les attaquants cibler uniquement les ordinateurs Windows. Cependant, avec seulement quelques ajustements, les attaquants pourraient commencer à cibler Mac OS X et d'autres plates-formes. Qu'est-ce qui généralement se produire est un utilisateur est poussé à un système de lance-phishing ou devient victime d'un drive-by download. Dans les deux scénarios, l'acteur de logiciels malveillants aurait chuté d'une application Silverlight malveillant sur un websver vulnérable.
Pourquoi le Silverlight est d'exploiter une grosse affaire? Voici ce que dit le chercheur Brian Bartholomew de Kaspersky Lab:
Il est une grosse affaire; vulnérabilités Silverlight ne «viennent autour que, souvent,. Exploitation du jour zéro lui-même est assez technique, mais une fois qu'une preuve de concept-tombe dans les mains de quelqu'un qui sait ce qu'ils font et inverser les ingénieurs du patch, il est pas si difficile de produire une version militarisé de celui-ci.
En outre, un exploit appliqué dans des attaques ciblées pourraient également être «transmis» à actuellement actif exploit kits et mis à disposition pour diverses opérations malveillantes.
Le bug Silverlight a été signalé à Microsoft par les chercheurs de Kaspersky Lab Costin Raiu et Anton Ivanov. Leur attention fut attirée par un courriel envoyé par un hacker russe (Vitaliy Toropov) à Hacking équipe lors de leur violation infâme, prétendant qu'il avait une vulnérabilité Silverlight zero-day à vendre. En outre, le bug était au moins deux ans en 2013. Le pirate a même cru que le jour zéro pourrait passer inaperçue pendant une période plus longue.
Cela fait partie de la communication avec Vitaliy publiée par ArsTechnica:
Je vous recommande le 0 jours frais pour iOS 7 / OS X Safari ou mon ancien Silverlight exploit qui a été écrit 2.5 il y a des années et a toutes les chances de survivre plus loin dans prochaines années ainsi.
Est-ce que le Silverlight patché exploiter le seul?
Selon Bartholomew, Les chercheurs de Kaspersky ont trouvé une vulnérabilité et une preuve de concept qui a été également crédité à Toropov Silverlight ancien et a été soumis à Packet Tempête (un portail d'information de sécurité). L'archive peut être téléchargé et contenait suffisamment d'informations pour Kaspersky écrire une règle de YARA pour le fichier DLL qui a déclenché l'exploit.
Qu'est-ce que YARA?
YARA est un outil principalement utilisé par les chercheurs de logiciels malveillants pour identifier et classer les échantillons de logiciels malveillants. YARA est appliquée pour créer des descriptions de familles de logiciels malveillants basés sur textuelle ou motifs binaires. Chaque détail (ou d'une règle) est un ensemble de chaînes.
Une fois la règle de YARA était prêt, il a été déployé sur les ordinateurs des clients de Kaspersky. Tout semblait bien se passer jusqu'à la fin de Novembre 2015. C'est alors une alerte a été déclenchée sur l'ordinateur d'un utilisateur par l'une des détections génériques pour le 2013 exploiter. L'analyse a montré que le fichier malveillant a été créé en Juillet 21, près de deux semaines après la brèche de l'équipe Hacking a eu lieu et les données volées a été faite en ligne publique. L'exploit a été signalé à Microsoft, et a été corrigée à l'intérieur de la Janvier 12 2016 Patch Tuesday.
Ce qui reste clair pour les chercheurs est de savoir si le jour zéro patché exploit est le même que celui décrit par la violation Hacking Équipe (celle proposée à la vente par Toropov), ou un nouvel exploit écrit après.
Barthélémy Kaspersky indique qu'il ya des similitudes dans les deux échantillons qui pointent vers Toropov:
Pas beaucoup de gens écrivent Silverlight zéro jour, de sorte que le champ est réduit de manière significative,"Bartholomew dit. "En plus, il y a des chaînes d'erreur utilisés dans son ancien exploit de 2013 que nous accroché à et de la pensée étaient uniques. Ce sont la base de notre règle.
Enfin, la chose dangereuse à propos de Silverlight exploits zero-day est qu'ils ont le potentiel de devenir généralisée.
Les références
Threatpost
ArsTechnica
Kaspersky Lab