Grâce au sous-système Kaspersky Exploit Prevention de nos produits, nous avons récemment détecté un exploit, programme malveillant permettant aux cybercriminels d’accéder sans autorisation à un ordinateur, qui profitait d’une vulnérabilité du navigateur Google Chrome. Il exploitait une vulnérabilité zero-day, encore inconnue des développeurs à ce moment-là. Ils lui ont assigné l’identifiant CVE-2019-13720.
Nous avons signalé cette vulnérabilité à Google qui l’a ensuite corrigée dans la dernière mise à jour Chrome. Voici comment l’attaque qui utilisait cette vulnérabilité s’est déroulée.
WizardOpium : mauvaises nouvelles en coréen
L’attaque, que nous avons appelée Opération WizardOpium, vient d’un site d’informations coréen sur lequel les cybercriminels ont introduit un code malveillant. Il charge un script provenant d’un site tiers pour vérifier, dans un premier temps, si le système peut être infecté et quel navigateur la victime utilise. Les cybercriminels ne sont intéressés que par les versions de Chrome postérieures à la version 65.
Si le système d’exploitation et le navigateur répondent aux critères, le script télécharge un exploit pièce par pièce, puis les assemble et les déchiffre. Tout d’abord, cet exploit analyse à nouveau la version de Chrome. À ce stade, il devient plus sélectif et ne fonctionne exclusivement qu’avec Chrome 76 ou 77. Les outils utilisés par les cybercriminels contiennent peut-être d’autres exploits pour différentes versions du navigateur, mais nous ne pouvons pas nous en assurer.
Après s’être assuré d’avoir trouvé ce qu’il cherchait, l’exploit tente de profiter de la vulnérabilité « use-after-free » CVE-2019-13720, basée sur l’utilisation non-conforme de la mémoire de l’ordinateur. En manipulant la mémoire, l’exploit obtient l’autorisation de lire et d’écrire des données sur l’appareil. Il pourra les utiliser immédiatement afin de télécharger, déchiffrer et exécuter le logiciel malveillant. Ce dernier peut varier en fonction de l’utilisateur.
Les produits Kaspersky détectent l’exploit avec le verdict Exploit.Win32.Generic. Notre article Securelist apporte plus de détails techniques.
Mettre à jour Chrome
Même si vous ne lisez pas les sites d’informations coréens, nous vous recommandons de passer à la version 78.0.3904.87 de Chrome. Il y a déjà un exploit qui utilise cette vulnérabilité, ce qui signifie que d’autres peuvent suivre. Il y a de fortes chances pour que cela se produise dès l’instant où les détails sur cette vulnérabilité seront disponibles gratuitement.
Google a déployé une mise à jour de Chrome sous Windows, MacOS et Linux. Ces mises à jour s’effectuent automatiquement. Un redémarrage du navigateur devrait être suffisant.
Pour être vraiment sûr, vérifiez que la mise à jour est bien installée. Pour cela, cliquez sur les trois points verticaux en haut à droite du navigateur (« Personnaliser et contrôler Google Chrome ») puis sélectionnez Aide → À propos de Google Chrome. Si le nombre qui apparaît est 78.0.3904.87 ou plus, tout est en ordre. Si ce n’est pas le cas, Chrome recherchera et installera les mises à jour disponibles (vous verrez un cercle en rotation sur la gauche). Après quelques secondes, le numéro de la dernière version apparaîtra sur l’écran : cliquez sur Relancer.