Un bogue dans Facebook Messenger pour Windows aurait pu aider les logiciels malveillants à gagner en persistance

Chercheurs en cybersécurité chez Reason Labs, la branche de recherche sur les menaces du fournisseur de solutions de sécurité Raison Cybersécurité, a dévoilé aujourd’hui les détails d’une vulnérabilité découverte récemment dans l’application Facebook Messenger pour Windows.

La vulnérabilité, qui réside dans la version 460.16 de Messenger, pourrait permettre aux attaquants d’exploiter l’application pour potentiellement exécuter des fichiers malveillants déjà présents sur un système compromis dans le but d’aider les logiciels malveillants à obtenir un accès permanent / étendu.

Laboratoires de raison partagé ses conclusions avec Facebook en avril, après quoi la société de médias sociaux a rapidement corrigé la faille avec la publication d’une version mise à jour de Facebook Messenger pour les utilisateurs de Windows via le magasin Microsoft.

Selon les chercheurs, l’application vulnérable déclenche un appel pour charger Windows Powershell à partir du chemin C: python27. Ce chemin est généralement créé lors de l’installation de la version 2.7 de Python et n’existe pas couramment dans la plupart des installations Windows.

Les attaquants peuvent détourner de tels appels qui tentent de charger des ressources potentiellement inexistantes pour exécuter secrètement des logiciels malveillants. De plus, comme le répertoire ciblé se trouve également dans un emplacement de faible intégrité, des programmes malveillants pourraient accéder au chemin sans privilèges d’administrateur.

Pour tester si la faille est exploitable, l’équipe a créé un shell inversé déguisé en Powershell.exe et l’a déployé dans le répertoire Python. Ils ont ensuite exécuté l’application Messenger, qui a déclenché l’appel, exécutant avec succès le shell inversé, prouvant ainsi que des acteurs malveillants pouvaient exploiter la faille pour des attaques persistantes.

Par convention, les attaquants qui utilisent des méthodes de persistance s’appuient sur des clés de registre, des tâches planifiées et des services pour maintenir un accès actif à un système. Ce type particulier de vulnérabilité est considéré comme plus complexe à exploiter.

Les attaquants doivent observer si une application effectue un appel indésirable ou plonger profondément dans le code binaire d’une application pour trouver une fonction qui effectue un tel appel.

La vulnérabilité a été corrigée dans la version 480.5, qui est la version la plus récente testée par Reason. Les utilisateurs qui exécutent la version défectueuse doivent mettre à jour vers la dernière version.

Bien que rien n’indique que la faille ait été exploitée avant la découverte de Reason, de telles vulnérabilités sont très risquées.

Les acteurs malveillants peuvent utiliser ces failles pour maintenir l’accès aux appareils pendant de longues périodes. Un tel accès persistant peut leur permettre d’effectuer d’autres hacks, y compris l’implantation de ransomware et l’exfiltration de données et les violations.

Les groupes de menaces utilisent également des méthodes persistantes pour effectuer des piratages spécialisés ciblant les institutions financières, les bureaux gouvernementaux et d’autres installations industrielles.

En outre, la menace aurait pu être généralisée si la vulnérabilité avait été exploitée. Facebook Messenger a 1,3 milliard d’utilisateurs actifs un mois. Bien que ce chiffre représente tous les utilisateurs sur tous les appareils, beaucoup accèdent au service via leurs ordinateurs Windows.

Cela devient encore plus inquiétant étant donné que les applications de messagerie sont utilisées de manière significative pendant la pandémie de coronavirus en cours. En raison des restrictions de voyage, des verrouillages et des arrangements de travail forcé à domicile, les utilisateurs dépendent fortement des applications de messagerie et des outils de vidéoconférence pour communiquer et collaborer.

Messenger de Facebook fait partie des applications les plus utilisées. En mars, Facebook a signalé un Augmentation de 50 pour cent dans la messagerie et une augmentation de 1 000% du temps passé en groupe dans les appels avec trois participants ou plus.