Découverte en début de semaine par des chercheurs de FireEye, une faille de type zero day dans Adobe Reader a été utilisée pour des attaques. L'éditeur  a confirmé et a précisé qu'elle touchait les versions 10 et 11 de Reader intégrant la fonctionnalité de protection sandbox. « Adobe est au courant que les vulnérabilités sont déjà exploitées et visent à tromper les utilisateurs de Windows en les incitant à cliquer sur un fichier PDF compromis dans un mail », précise l'éditeur. Adobe travaille sur un patch, mais en attendant, les utilisateurs de Reader 11 sont invités à activer le mode protégé dans les paramètres sécurité du menu édition.

Selon Costin Raiu, directeur de la recherche sur les malwares chez Kaspersky Lab, « cette attaque relève du haut niveau. Ce n'est pas quelque chose que vous voyez tous les jours ». A en juger par la sophistication des attaques, le responsable conclut que celles-ci s'inscrivent dans une opération de « grande envergure ». Elles se situeraient « au même niveau que Duqu », souligne Costin Raiu. Pour mémoire Duqu est un malware cyberespion découvert en octobre 2011, avec de forts soupçons sur certains Etats qui en seraient à l'origine.

Double composant d'écoute et d'enregistrement de frappes

L'attaque utilise un document PDF et deux failles distinctes dans Reader. La première porte sur une élévation des privilèges pour exécuter du code malveillant et l'autre sert à contourner la sandbox présente dans les deux versions de Reader. Cette méthode marche sur Windows 7, y compris les versions  64 bits et évite les mesures de protection de Windows que sont l'ASLR et DEP. Une fois le PDF ouvert, le malware se diffuse et établit une connexion avec le serveur de commande et contrôle. Deux DLL sont alors installées : une pour voler les mots de passe et les informations, l'autre pour enregistrer les frappes au clavier. Le transfert des données est compressé avec zlib et chiffré avec AES en utilisant une clé publique RSA. Costin Raiu considère ce niveau de protection très rare dans les malwares. Il ajoute « quelque chose de semblable a été utilisé dans Flame, mais sur le côté serveur ». Pour lui, « il s'agit soit d'un outil de cyberespionnage élaboré par un Etat soit un module édité par une société privée pour le compte d'une administration ».

Kaspersky Lab n'a pas encore d'information sur les cibles de cette attaque et sa distribution géographique. Chez FireEye, le directeur de la recherche, Zheng Bu, a refusé d'indiquer  quelles sont les cibles visées. Seules des informations techniques ont été développées sur le blog du spécialiste de la sécurité. Zheng Bu a juste précisé que le malware utilisait certaines techniques pour détecter s'il est en cours d'exécution sur une machine virtuelle pour échapper aux systèmes d'analyses automatiques  de malware.