FireEye détecte une faille zero-day diffusant FinSpy

Les spécialistes de la sécurité informatique de FireEye ont, une fois de plus,   repéré une faille zero-day servant à propager FinSpy. Il s’agit d’un programme commercialisé par l’éditeur Gamma auprès des services gouvernementaux dans le but d’intercepter légalement des données. Les experts de FireEye ont ainsi démontré que les concepteurs de logiciels d’espionnage ne fléchissaient pas dans leur activité.

Lesdits chercheurs ont trouvé un fichier piégé de Microsoft Office RTF au mois de juillet. Ce fichier avait exploité une faille de sécurité méconnue jusqu’alors portant la référence CVE-2017-8759. Cette brèche se situait au niveau du framework.net, dans son module d’analyse syntaxique WDSL. Elle permettrait ainsi à celui qui l’exploite de prendre le contrôle d’une machine mais aussi d’injecter et exécuter un code arbitraire sous certaines conditions.

Sécurité IA

Une correction a été apportée à cette brèche le 12 septembre 2017, lors de la sortie du Patch Tuesday. Il est ainsi vivement recommandé aux utilisateurs d’effectuer une mise à jour de leur système Windows vu qu’un code permettant l’exploitation de cette faille est déjà en libre circulation sur internet.

FinSpy prend la forme d’un fichier image

Le plus intéressant, c’est qu’en exploitant le zero-day, le logiciel d’espionnage FinSpy s’installe directement.

En 2013, Reporters Sans Frontières avait classé Gamma, l’éditeur de FinSpy, parmi les cinq entreprises ennemies du net.

Dans ce cas-ci, le logiciel espion FinSpy prend la forme d’un fichier image en left.jpg lors de son installation. Néanmoins, comme l’a souligné FireEye dans une note de blog, il s’agit d’un fichier exécutable dans lequel se trouve un code impénétrable. Il intègre une machine virtuelle rendant ainsi l’analyse par rétro-ingénierie plus compliquée.

Deux zero-day en seulement quelques mois

La première faille était un fichier piégé qui portait le nom de projet.doc mais le mot projet était en russe. La cible de cette attaque était probablement les utilisateurs russes mais ce n’était pas la première faille zero-day diffusant le logiciel FinSpay détectée par FireEye.

Ces spécialistes ont, en effet, découvert une seconde brèche qui présentait des similitudes avec le cas précédent. Cette faille zero-day permettait l’exécution du code Visual Basic grâce à un fichier RTF piégé. Ici aussi, le document portait un intitulé russe.

Mots-clés sécurité