Posté le juin 12, 2020 à 17:17

LA VULNÉRABILITÉ D’UNE APPLICATION FACEBOOK AURAIT PU CONDUIRE À UNE ATTAQUE PERMANENTE

Les chercheurs en sécurité de Reason Labs ont révélé aujourd’hui qu’ils avaient récemment découvert une vulnérabilité dans l’application Facebook Messenger pour Windows. L’équipe de recherche en sécurité est une division de Reason Cybersecurity, un fournisseur de solutions de sécurité.

Selon les chercheurs, la vulnérabilité se trouve dans la version 460.16 de l’application Facebook Messenger. Elle pourrait permettre aux hackers d’exécuter des fichiers malveillants trouvés sur un système infecté afin d’aider le logiciel malveillant à obtenir un accès étendu ou permanent.

La vulnérabilité a été corrigée

Reason Labs a initialement révélé sa découverte à Facebook en avril. Immédiatement après avoir reçu la nouvelle de la faille, le géant des médias sociaux a corrigé la vulnérabilité et mis à jour l’application de messagerie vulnérable pour les utilisateurs de Windows par le biais de la boutique Microsoft.

Cette faille pourrait permettre aux hackers de prendre le contrôle total

Les chercheurs ont déclaré que l’application défectueuse déclenche systématiquement une action pour charger Windows Powershell à partir du chemin C:\python27, qui est généralement publié pendant l’installation de la version 2.7 de Python. Les chercheurs ont également déclaré que ce n’est pas courant avec la plupart des installations de Windows.

Les hackers peuvent prendre le contrôle d’une telle action qui a tenté de charger des protocoles apparemment inexistants pour libérer secrètement des logiciels malveillants. En outre, le programme malveillant peut avoir accès aux privilèges administrateur puisque le réseau ciblé se trouve dans une zone de faible activité.

Reason Labs a essayé de tester si la faille peut être explorée. Ils ont mis en place un shell de réserve qui a agi comme Powershell.exe et l’ont libéré dans le répertoire Python.

Ensuite, l’équipe a lancé l’application Messenger, qui a activé l’appel, et a exécuté le shell inverse avec succès. Cela a prouvé que la faille peut être exploitée pour des attaques continuelles par une application malveillante.

Traditionnellement, les hackers qui utilisent des méthodes d’attaque persistantes dépendent fortement des tâches planifiées, des clés de registre et des services pour rester actifs au sein du système affecté. Cependant, cette faille est connue pour être plus difficile à exploiter.

C’est probablement l’une des raisons pour lesquelles elle n’a pas encore été exploitée. Les attaquants auraient constaté si l’application effectue un appel ascendant. Ils auraient également pu fouiller dans le code binaire de l’application pour localiser un protocole qui effectue un tel appel.

Il est conseillé aux utilisateurs de mettre à jour leur ancienne application       

La vulnérabilité de la version 480.5 a été corrigée, ce qui s’est avéré être la version la plus récente testée par les laboratoires Reason. Facebook a déjà envoyé une notification aux utilisateurs utilisant l’ancienne version ou la version vulnérable de l’application pour qu’ils la mettent à jour dès que possible.

Cette vulnérabilité peut conduire à d’autres attaques

Les hackers peuvent profiter de cette vulnérabilité pour continuer à accéder à des données à partir de l’appareil pendant une période prolongée. Ce type d’accès continu peut leur permettre de mener d’autres attaques de piratage, notamment l’exfiltration de données, l’implantation de logiciels de rançon et d’autres violations.

Les groupes de hackers utilisent également des méthodes de piratage permanentes pour effectuer des piratages spécialisés ciblant les bureaux gouvernementaux, les institutions financières et d’autres installations industrielles.

Une attaque aurait pu être généralisée

De plus, si la faille avait été exploitée, la menace aurait pu toucher plusieurs systèmes et appareils, avec 1,3 milliard d’utilisateurs de Facebook Messenger chaque mois. Le chiffre est encore plus car il ne prend en compte que les utilisateurs qui accèdent à l’application avec leurs appareils mobiles. Plusieurs autres accèdent à l’application via leurs systèmes Windows.

Les applications de messagerie étant de plus en plus utilisées pendant la pandémie actuelle de Convid-19, l’impact pourrait même être pire. Comme des restrictions de voyage et de travail sont en place dans plusieurs pays, l’utilisation des applications de vidéoconférence et des outils de messagerie a augmenté. Les utilisateurs dépendent fortement de ces applications pour communiquer avec leurs amis et collègues qu’ils ne peuvent pas visiter physiquement en raison des restrictions.

Facebook Messenger étant l’une des applications les plus populaires, il pourrait toucher plusieurs utilisateurs si la vulnérabilité a été exploitée avec succès. En mars de cette année, la société a signalé une augmentation de 50 % des messages et une augmentation de 1000% du temps consacré aux appels de groupe.