Comme les chercheurs l’ont découvert, le fichier SFX auto-extractible connu de WinRAR ou 7-Zip peut faire bien plus que simplement extraire son contenu.
Un fichier SFX auto-extractible connu des programmes de compression tels que WinRAR ou 7-Zip peut non seulement être décompressé rapidement et facilement en un double-clic. Les attaquants peuvent également en abuser pour donner à votre système une porte dérobée et exécuter des commandes arbitraires avec des privilèges système.
Les fichiers SFX sont auto-extractibles
Les outils d’archivage tels que 7-Zip ou WinRAR ont toujours facilité l’échange de fichiers avec d’autres utilisateurs. Par exemple, si vous souhaitez envoyer une liste de documents, vous pouvez les regrouper dans un seul fichier d’archive avec un tel logiciel. Celui-ci peut ensuite être simplement joint à un e-mail ou envoyé via Messenger.
Si l’utilisateur souhaite faciliter un peu le déballage pour le destinataire, il peut créer un fichier SFX – un « archive auto-extractible » – créer. Dans ce cas, le programme d’emballage respectif fournit un fichier exécutable qui, en plus des documents emballés, fournit également le code nécessaire à la décompression.
Par conséquent, les fichiers contenus dans l’archive SFX peuvent être décompressés à nouveau sans installer de logiciel tel que WinRAR ou 7-Zip. L’utilisateur n’a qu’à double-cliquer sur l’archive.
Le pirate obtient les droits du système et reste non détecté
Malheureusement, une telle simplicité tentante en informatique comporte souvent certains risques. Par exemple, des chercheurs en sécurité de CrowdStrike ont récemment observé comment un attaquant utilisait à mauvais escient un fichier SFX protégé par mot de passe pour fournir à un système tiers une porte dérobée. L’archive elle-même ne contenait aucun logiciel malveillant.
fichier SFX analysé
Pour exécuter le fichier SFX, le pirate a utilisé l’application Accessibility « utilman.exe”, qui peut être démarré sur les systèmes Windows avant même que l’utilisateur ne se connecte. Il a amélioré le code du fichier d’archive avec des commandes supplémentaires qui lui ont permis d’ouvrir PowerShell, l’invite de commande et le gestionnaire de tâches, chacun avec des privilèges système.
Comme le rapporte BleepingComputer, l’attaquant a utilisé des paramètres supplémentaires pour s’assurer que le logiciel n’affichait aucune boîte de dialogue ou fenêtre. Ainsi, l’utilisateur n’était pas non plus au courant des processus.
Un logiciel antivirus est plus susceptible de vérifier le contenu du fichier SFX
Comme les chercheurs l’ont expliqué dans leur rapport, le pirate a créé une porte dérobée permanente. En s’exécutant à partir de l’écran de connexion, cela ne dépendait que de la connexion de l’utilisateur attaqué avec le mot de passe correct. L’attaquant a alors pu exécuter n’importe quelle commande avec les droits système.
« Ce type d’attaque est susceptible de ne pas être détecté par les logiciels antivirus traditionnels, qui recherchent des logiciels malveillants dans une archive (qui est souvent également protégée par un mot de passe) plutôt que le comportement d’un stub de décompresseur d’archive SFX. »
FouleStrike
Si vous souhaitez vous protéger, vous et votre ordinateur, contre de telles attaques, vous devez toujours examiner de plus près l’expéditeur d’un fichier SFX avant d’essayer de le décompresser. En outre, il peut également être utile de consulter nos 10 règles pour un comportement en ligne sûr.