Foxit Software, l'éditeur du populaire lecteur PDF Foxit Reader, est rattrapé par une faiblesse de conception majeure exploitée massivement ces dernières années.
Bien qu'il ne s'agisse pas d'une vulnérabilité à proprement parler, Foxit Reader souffre d'un défaut de conception permettant l'exécution de charges malveillantes déguisées en documents PDF apparemment inoffensifs. Ce format de fichier largement répandu est d'ailleurs, hélas, souvent la cible de campagnes de malware, comme la dernière en date, Byakugan, qui cachait un infostealer dans des fichiers Adobe PDF Reader.
Avec plus de 700 millions d'utilisateurs à travers le monde, Foxit, ce lecteur PDF bon marché est devenu une cible de choix pour les cybercriminels et groupes d'attaquants étatiques cherchant à infiltrer un large éventail de systèmes Windows. En l'occurrence, il s'agit plutôt d'une « défaillance » de l'infrastructure du logiciel qui ouvre la voie à un malware.
28 novembre 2024 à 15h40
Une conception qui pousse l'utilisateur au piège
L'exploitation repose sur un comportement inhabituel de Foxit Reader face à certains fichiers PDF piégés. Deux fenêtres d'avertissement s'affichent, proposant par défaut les options « Accepter » ou « OK ». Un choix par défaut contraire aux bonnes pratiques qui risque d'inciter l'utilisateur à cliquer machinalement sans lire les messages d'avertissement.
En acceptant ces deux options, la victime déclenche involontairement l'exécution d'une commande malveillante qui télécharge et exécute un programme malveillant sur son système. C'est un parfait exemple de la combinaison pernicieuse entre un défaut de conception logicielle et le comportement humain naturel de ne pas toujours lire attentivement les avertissements.
Les chercheurs de Checkpoint Research ont identifié de multiples campagnes de grande ampleur exploitant ce vecteur ces dernières années. Des dizaines de familles de malwares différentes ont ainsi pu s'introduire, des botnets Windows et Android aux voleurs d'informations en passant par les désormais célèbres Remcos RAT et autres chevaux de Troie.
L'équipe APT-C-35/DoNot Team, un groupe d'attaquants parrainé par un État, a notamment utilisé cette technique pour mener une vaste campagne d'espionnage visant des entités gouvernementales et militaires. Des outils d'exploitation ont également été commercialisés sur les réseaux underground par des groupes comme @Silentkillertv.
Le succès de cette technique d'exploitation réside notamment dans son faible taux de détection initiale par les solutions antivirus grand public et d'entreprise. La plupart des moteurs se basant sur le lecteur Adobe Acrobat Reader pour analyser les documents PDF, ils ne détectaient pas les charges malveillantes présentes dans les variantes visant Foxit Reader.
Les cyberpirates ont ainsi pu distribuer leurs charges malveillantes par des vecteurs non conventionnels comme les réseaux sociaux, avec un risque limité d'être stoppés à l'entrée des réseaux d'entreprise. Des campagnes massives de spam et d'hameçonnage ont également pu être menées en toute discrétion.
Le défaut de conception de Foxit a également ouvert la voie à des techniques d'exploitation innovantes, à l'image des générateurs d'exploits automatisés codés en divers langages comme .NET ou Python. L'écosystème des produits malveillants s'est rapidement enrichi, augmentant les risques pour les utilisateurs de Foxit Reader.
Comment vous protéger des malwares distribués par des PDF
Si vous êtes un utilisateur de Foxit Reader, sachez que tant que Foxit Software n'aura pas appliqué de correctif ni fourni la version 2024.3 qui devrait résoudre le problème, vous devrez faire preuve de vigilance.
Dans l'intervalle, Clubic vous donne quelques conseils pour éviter de glisser dans la faille. Soyez extrêmement prudent avec les fichiers PDF en provenance de sources peu fiables ou inconnues. Validez systématiquement leur intégrité avant ouverture, ne serait-ce que par précaution.
Prenez le temps de lire attentivement les avertissements avant d'accepter les actions proposées par défaut, un réflexe contre-intuitif, mais indispensable pour éviter les pièges.
Gardez vos logiciels à jour en appliquant rapidement les dernières mises à jour de sécurité pour vous protéger des dernières techniques d'exploitation connues.
Déployez des solutions antivirus, anti-malware et anti-exploit bloquant spécifiquement les charges visant Foxit Reader. Les protections standard étant insuffisantes.
Source : Checkpoint Research
