AKBuilder et MWI exploitent une vulnérabilité dans le traitement des fichiers RTF
En octobre dernier, Microsoft a publié le bulletin de sécurité MS16-121, qui corrigeait une vulnérabilité Office, que des cybercriminels pouvaient exploiter pour exécuter des malwares sur des ordinateurs infectés. Ceux qui ne l’ont pas encore installé devraient le faire immédiatement : les experts du SophosLabs ont découvert de nouveaux cas de type AKBuilder et Microsoft Word Intruder (MWI) exploitant cette faille.
Plus précisément, des copies d’AKBuilder sont vendues sur un forum underground, et les auteurs du MWI l’utilisent maintenant pour concocter de nouveaux exploits contre un bug concernant les fichiers RTF. L’un de nos principaux experts au SophosLabs, Gábor Szappanos, a déclaré :
Cette vulnérabilité est déjà pleinement active par le biais deux générateurs d’exploits majeurs. Tout s’est passé en quelques semaines, par le biais d’un forum underground.
C’est l’histoire de deux générateurs d’exploits
AKBuilder génère des documents Word malveillants, tous au Format Texte Enrichi (RTF). Une fois achetés, les cybercriminels l’utilisent pour fabriquer des échantillons de logiciels et les intégrés dans des documents piégés, qu’ils pourront ensuite envoyer par spams. AKBuilder utilise des exploits pour corrompre délibérément des fichiers qui déclencheront automatiquement des bugs présents au sein d’Office, ainsi que des bugs latents dans Windows. SophosLabs a vu plusieurs cas issus de ce générateur en action récemment.
MWI est l’un des générateurs d’exploits, ciblant Office, le plus connu et certainement l’un des plus populaires parmi la communauté cybercriminalité. Bien que SophosLabs ait récemment découvert de nouvelles versions qui incluent des exploits non-Office, le bug Office ciblant les fichiers RTF lance des attaques à l’ancienne.
La vulnérabilité CVE-2016-7193
Les échantillons analysés par le lab exploitent les vulnérabilités décrites dans le bulletin “Common Vulnerabilities and Exposures” : CVE-2016-7193. Il s’agit d’un bug qui corrompt la mémoire et qui induit une mauvaise gestion par le logiciel Office des fichiers RTF (Rich Text Format).
Les cybercriminels peuvent exploiter cette faille en créant un document RTF corrompu qui, une fois téléchargé, infecte l’ordinateur de la victime. Si l’utilisateur s’est connecté en tant qu’administrateur, un cybercriminel pourrait, comme le dit Microsoft dans son bulletin, “prendre le contrôle du système affecté et installer des programmes, afficher, modifier ou supprimer des données, ou encore créer de nouveaux comptes avec des droits d’utilisateur complets”.
Les derniers fichiers MWI
SophosLab a intercepté et analysé deux fichiers corrompus et conçus pour exploiter cette vulnérabilité. Le lab a contacté Microsoft, qui a confirmé l’existence de cet exploit.
Le premier fichier, SIMON WERNER GMBH-RFQ.doc, a d’abord été soumis au scanner de malwares VirusTotal le 20 mars, à partir de sources en provenance de Hong Kong et du Royaume-Uni. Le fichier a déposé un downloader Dofoil dans %PROFILE%AppDataLocalTempmsvc.exe, qui a son tour a téléchargé un fichier AMcr35.exe à partir d’un site distant.
Le deuxième fichier, “security instructions” à partir de Visa.doc, выписка.doc, 2017april.doc, a été soumis à VirusTotal le 28 mars, à partir de sources au Kazakhstan, en Ukraine et en Russie. Le malware téléchargé à partir de ce fichier se retrouve dans %PROFILE%AppDataLocalTempmsvc.exe. Il ouvre un shell inversé généré par Metasploit au niveau de 92.63.111.201:443/ZVHd.
S’il est ouvert, la visionneuse affichera le contenu fictif suivant :
SophosLabs a suivi le parcours en remontant jusqu’au 8 mars dernier, et a découvert des échantillons d’AKBuilder qui sont identiques au premier échantillon de MWI décrit ci-dessus. La conclusion est qu’une copie d’AKBuilder a été vendue sur un forum underground et utilisée par l’auteur du MWI.
Les caractéristiques
Les deux fichiers contiennent l’exploit CVE-2016-7193. Le shellcode utilisé dans les deux échantillons est très similaire au dropper code utilisé dans les échantillons générés par Microsoft Word Intruder. SophosLabs soupçonne qu’ils aient été générés par une nouvelle version de MWI.
Les deux documents utilisent le même algorithme pour déchiffrer le payload, un XOR à un octet avec la clé incrémentée à chaque étape suivi d’un échange de la première centaine d’octets, et le shellcode utilisé par les fonctions de Windows Management Instrumentation pour exécuter le payload.
Le générateur de l’auteur original a été distribué sous la forme d’un script Python qui fonctionne comme un AKBuilder, selon les commentaires laissés dans un forum en ligne.
Malgré les similitudes avec AKBuilder, celui-ci a utilisé différentes clés de chiffrement et un autre bloc d’exploit intégré.
L’image suivante montre l’exploit RTF final généré par le générateur qui, dans le cas du premier fichier, est très similaire aux fichiers RTF générés par les récentes versions d’AKBuilder :
Nous soupçonnons que l’auteur de MWI a acheté le script, puis a publié une première version basée sur ce dernier. Il a été adapté par la suite pour se rapprocher du style MWI.
Une semaine après l’annonce publique initiale sur le forum underground, SophosLabs a vu le premier échantillon dans la nature, suivi d’un plus grand déploiement de l’exploit.
Les mesures défensives
Comme indiqué, Microsoft a publié un patch pour la vulnérabilité dans MS16-121. Dans ce bulletin, Microsoft a également noté que les utilisateurs dont les comptes sont configurés pour avoir moins de droits d’utilisateur sur le système sont moins vulnérables que les utilisateurs qui opèrent avec des droits administrateurs.
Pendant ce temps, les utilisateurs devraient faire attention à ne télécharger que des fichiers provenant de sources fiables.
Follow @ SophosFrance //platform.twitter.com/widgets.js
Billet inspiré de AKBuilder, Microsoft Word Intruder exploiting Office RTF vulnerability, par Bill Brenner, Sophos NakedSecurity.