Barracuda full logo

Malware 101 : les exploits comme méthode d'infection

Thèmes:
6 sept. 2023
|
Jonathan Tanner

Nous sommes tous humains et, de ce fait, il arrive que nous fassions des erreurs. Cette maxime est valable pour les développeurs, qui ne sont pas à l’abri d’erreurs lors du codage des logiciels, que l’on appelle communément les « bugs ». Obtenir l’accès à un appareil est le premier obstacle de tout malware, car rien n’est possible sans cet accès initial. Alors qu’un cheval de Troie essaye de tromper un utilisateur pour obtenir cet accès, un exploit utilise les bugs logiciels. Les pirates peuvent utiliser des exploits pour obtenir un accès initial aux appareils ou aux réseaux, élever les privilèges d’accès ou simplement refuser l’accès à d’autres utilisateurs.

Si les exploits peuvent apparaître dans de nombreux contextes, ils sont souvent utilisés par les malwares pour contourner les systèmes de protection. En tant que méthode d’infection, les exploits ne nécessitent pas de tromper l’utilisateur, car ils utilisent des failles logicielles existantes plutôt que de s’appuyer sur l’ingénierie sociale pour en créer de nouvelles.

Les malwares peuvent cependant utiliser les exploits pour d’autres raisons que l’obtention d’un accès initial, ce qui peut entraîner leur cooccurrence avec les chevaux de Troie. Par exemple, un cheval de Troie peut utiliser un exploit pour élever des privilèges ou même obtenir un accès initial. Cela est particulièrement vrai si l’on considère l’évolution vers des chevaux de Troie basés sur des documents, qui ont été développés au fil des ans pour isoler des parties des systèmes hôtes à des fins de sécurité. Les exploits peuvent aider les chevaux de Troie à franchir cette couche de sécurité. Ils sont souvent associés à des techniques de réinfection, en particulier les vers, pour faciliter la propagation vers de nouveaux systèmes sans nécessiter d’interaction de la part de l’utilisateur.

Comment les exploits sont révélés et comment ils évitent la détection

Les bugs logiciels qui sont exploités peuvent être résolus par la mise en œuvre de mises à jour de sécurité du logiciel. Parfois, ces correctifs sont déployés avant que les pirates n’utilisent l’exploit à des fins malveillantes, par exemple lorsque celui-ci est détecté par des experts en sécurité. Malheureusement, il arrive que des exploits soient révélés et/ou utilisés avant qu’ils ne soient corrigés, et c’est ce qu’on appelle un exploit zero-day. Aucun correctif n’étant encore disponible, ces exploits peuvent causer des dommages importants, en particulier s’ils permettent l’exécution de code à distance, auquel cas les attaquants exécutent leur propre code comme s’il faisait partie du logiciel légitime qui contient le bug.

L’utilisation à grande échelle d’un exploit zero-day attire immédiatement l’attention des personnes responsables de la maintenance du logiciel. Elles s’efforcent alors de développer un correctif de sécurité le plus rapidement possible. Il en va de même pour les fournisseurs de sécurité dont les logiciels sont capables de détecter les exploits utilisés. S’engage alors une course contre la montre entre les pirates et les équipes de sécurité. Les uns essaient d’utiliser l’exploit autant que possible avant qu’il ne soit corrigé ou devienne détectable, tandis que les autres essaient de le détecter ou de le corriger.

Les exploits zero-day peuvent être très dangereux jusqu’à ce qu’ils soient corrigés, et leur résolution devient une priorité absolue une fois que leur existence est connue des créateurs de logiciels. En général, cela se produit soit parce qu’ils ont été utilisés dans des attaques réelles, soit parce qu’ils ont été identifiés par des experts en sécurité qui recherchent des vulnérabilités dans les logiciels. Si les pirates sont incapables de prédire le moment où les experts vont découvrir et signaler les exploits, ils peuvent décider du moment où ils déploient leurs attaques.

Les groupes de pirates les plus expérimentés, comme ceux qui travaillent pour des États-nations et que l’on appelle communément les « menaces persistantes avancées », sont capables de découvrir des exploits et de les utiliser discrètement pour ne pas être détectés par les auteurs des logiciels. En 2016, un groupe appelé The Shadow Brokers a divulgué un certain nombre d’exploits zero-day qu’il avait soi-disant obtenus auprès de l’Equation Group (censé être une division au sein de l’Agence nationale de sécurité américaine). Avant la fuite, les exploits étaient discrètement utilisés à petite échelle afin d’éviter qu’ils ne soient détectés et corrigés. Après la fuite, ils ont été largement utilisés, ce qui a abouti à la publication de correctifs.

Autres manières pour les pirates d'utiliser les exploits

Bien que ce ne soit pas le sujet de cette série d’articles, il convient de signaler que les exploits sont généralement utilisés de façon manuelle par les pirates plutôt que d’être intégrés à des malwares. Se déplacer dans le réseau victime nécessite souvent que les exploits obtiennent une élévation des privilèges ou qu’ils accèdent à d’autres machines, ce que l’on appelle le mouvement latéral. Ces techniques peuvent également être utilisées par des malwares, mais leur complexité rend difficile leur mise en œuvre uniforme sur différents réseaux, et elles doivent fréquemment être adaptées. Les malwares peuvent également être implantés à un stade ultérieur de l’attaque, une fois que le pirate a acquis le niveau d’accès dont il a besoin pour atteindre ses objectifs.

Autre utilisation courante des exploits avec les malwares, les kits d’exploits combinent plusieurs exploits de navigateur connus dans l’espoir d’infecter des systèmes non corrigés qui visitent une page web particulière. Cette méthode est différente des chevaux de Troie, car elle exclut l’ingénierie sociale dans le malware lui-même. Au lieu de cela, elle trompe les utilisateurs par le biais du phishing ou de publicités malveillantes, qui hébergent ensuite le kit d’exploits sur le réseau publicitaire.

La puissance des correctifs

Les exploits sont des techniques d’attaque très polyvalentes qui peuvent ou non être associées à des malwares. La principale limite des exploits est qu’ils dépendent des bugs logiciels. Une fois les bugs corrigés, l’exploit devient inefficace. Malheureusement, de nombreux utilisateurs et de nombreuses organisations n’installent pas les correctifs de sécurité et les mises à jour logicielles en temps voulu. Ainsi, de nombreux exploits restent utilisables bien après la publication du correctif.

C’est pourquoi la plupart des articles consacrés à la sécurité conseillent d’appliquer rapidement les mises à jour et les correctifs de sécurité. Moins les systèmes sont vulnérables, moins les exploits sont efficaces. En retour, cela réduit la probabilité que les attaquants intègrent des exploits dans leurs malwares, car pour eux, la priorité absolue est l’efficacité.

 

Jonathan Tanner

Jonathan est chercheur senior en sécurité chez Barracuda Networks. Connectez-vous avec lui sur LinkedIn.

Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.