Facebook Messenger, 1 bug permettait la persistance de malwares

Une vulnérabilité a récemment été découverte dans l’application Facebook Messenger pour Windows. Les chercheurs en sécurité informatique de Reason Labs ont dévoilé les détails de cette faille de sécurité.

La vulnérabilité, qui réside dans Facebook Messenger version 460.16, pourrait permettre aux pirates informatiques de tirer parti de l’application pour exécuter potentiellement des fichiers malveillants déjà présents sur un système compromis dans le but d’aider les logiciels malveillants à obtenir un accès persistant.

Reason Labs a partagé ses trouvailles avec Facebook en Avril, après quoi le réseau social a rapidement corrigé la faille avec la sortie d’une version mise à jour de Facebook Messenger pour les utilisateurs de Windows via la boutique Microsoft.

facebook messenger

Selon les chercheurs, l’application vulnérable déclenche un appel pour charger Windows Powershell à partir du chemin C:\python27. Ce chemin est généralement créé lors de l’installation de la version 2.7 de Python et n’existe pas dans la plupart des installations Windows.

Les attaquants peuvent détourner ces appels qui tentent de charger des ressources potentiellement inexistantes pour exécuter secrètement des logiciels malveillants. De plus, comme le répertoire ciblé se trouve également dans un emplacement à faible intégrité, les programmes malveillants pourraient accéder au chemin sans privilèges d’administrateur.

Pour tester si la faille est exploitable, l’équipe a créé un shell inversé déguisé en Powershell.exe et l’a déployé dans le répertoire Python. Ils ont ensuite exécuté l’application Messenger, qui a déclenché l’appel, exécutant avec succès le shell inverse, prouvant ainsi que les acteurs malveillants pouvaient exploiter la faille pour des attaques persistantes.

D’habitude, les pirates utilisant des méthodes de persistance s’appuient sur des clés de registre, des tâches planifiées et des services pour maintenir un accès actif à un système. Ce type particulier de vulnérabilité est considéré comme plus complexe à exploiter.

Les pirates informatiques doivent observer si une application effectue un appel indésirable ou plonger profondément dans le code binaire d’une application pour trouver une fonction qui effectue un tel appel.

facebook messenger

La faille de Facebook Messenger a été patchée

La vulnérabilité a été corrigée dans la version 480.5, qui est la version la plus récente testée par Reason Labs. Les utilisateurs qui exécutent la version défectueuse doivent mettre à jour vers la dernière version.

Bien qu’il n’y ait aucune indication que la faille de sécurité ait été exploitée avant la découverte de Reason Labs, ces vulnérabilités sont très risquées.

Les acteurs malveillants peuvent utiliser ces failles pour maintenir l’accès aux appareils pendant de longues périodes. Un tel accès persistant peut leur permettre d’effectuer d’autres piratages, y compris l’implantation de rançongiciels ainsi que l’exfiltration et les violations de données.

Les groupes de cybercriminels utilisent également des méthodes persistantes pour effectuer des piratages spécialisés ciblant les institutions financières, les gouvernements et d’autres installations industrielles.

En outre, la menace aurait pu être étendue si la vulnérabilité avait été exploitée. Facebook Messenger compte 1,3 milliard d’utilisateurs actifs par mois. Bien que ce chiffre représente tous les utilisateurs sur tous les appareils, beaucoup accèdent au service via leurs machines Windows.

Cela devient encore plus inquiétant compte tenu du fait que les applications de messagerie sont utilisées de manière significative pendant la pandémie de coronavirus en cours. En raison des restrictions de voyage, des confinements et du télétravail, les utilisateurs dépendent fortement des applications de messagerie et des outils de vidéoconférence pour communiquer et collaborer.

L’application Messenger de Facebook fait partie des applications les plus utilisées dans le monde. Au mois de Mars 2020, Facebook a signalé une augmentation de 50% des messages et une augmentation de 1000% du temps passé en groupe dans les appels avec trois participants ou plus.

Si cet article vous a plu, jetez un œil à notre article précédent.