Des e-mails exploitent une faille zero-day d'Adobe

Le laboratoire de Sophos a pu reconstituer le scénario des attaques qui se basent sur la dernière faille non-corrigée affectant les solutions d'Adobe.

La semaine dernière, Adobe a dû mettre en garde les utilisateurs de son logiciel Acrobat Reader après la découverte qu'une faille zero-day actuellement exploitée, notamment pour pirater des systèmes critiques.

Sophos explique aujourd'hui avoir commencé à "voir un petit nombre d'échantillons de code malveillant de pirates essayant d'exploiter cette vulnérabilité", toujours non corrigée (CVE-2011-2462). "Les e-mails sont bien conçus et semblent très crédibles. Ils peuvent se faire passer pour ceux d'une banque ou d'autres structures réputées", prévient Chester Wisniewski du labo de Sophos.

Les courriels piégés contiennent un fichier .pdf en pièce jointe. Si la pièce jointe est ouverte dans Adobe Reader version 9 ou précédente, trois fichiers sont libérés, dont un dump.exe, qui essayera de télécharger ensuite sa charge malveillante.

Adobe assure que pour l'instant aucun code d'exploitation de la faille (exploit) n'a réussi à déjouer le bac à sable présent à partir de la version X de son Reader. Ce sont d'ailleurs les versions précédentes qui doivent être corrigées en priorité cette semaine. Adobe a expliqué travailler sur le correctif mais n'a pas donner la date précise de sa disponibilité.