Une vulnérabilité Windows récemment découverte permettait aux hackers de déguiser des fichiers dangereux en PDF inoffensifs. Si vous utilisez Windows 10 ou 11, vous pourriez être concerné par ces attaques zero-day. Une mise à jour de sécurité est fortement recommandée pour éviter d'être piégé.

Une faille critique affectant Windows 10 et Windows 11 a été exploitée par le groupe de hackers Void Banshee. Cette vulnérabilité, identifiée sous le nom CVE-2024-43461, permettait de camoufler des fichiers dangereux en utilisant une technique particulière. Ces cybercriminels ont tiré parti de ce bug pour dissimuler l'extension des fichiers grâce à des “espaces en braille“, des caractères invisibles qui trompent le système et l'utilisateur. Cela leur permettait de faire passer un fichier malveillant pour un document inoffensif, tel qu'un PDF.

Les “espaces en braille” sont des caractères invisibles qui peuvent être ajoutés au nom d'un fichier pour masquer sa véritable extension. Par exemple, un fichier malveillant avec une extension .hta (un format exécutable) pouvait être présenté comme un PDF grâce à ces espaces invisibles. Windows cachait ainsi l’extension à la fin du fichier, ce qui incitait les utilisateurs à l’ouvrir sans se méfier. Cette technique est similaire à une autre attaque visant les PDF, corrigée ce mois-ci, où des pirates exploitaient des fichiers corrompus pour exécuter du code malveillant sur Adobe Acrobat Reader.

Les hackers exploitent une faille Windows via des PDF pour dissimuler des fichiers malveillants

D’après les chercheurs en sécurité, cette faille permettait aux pirates d’installer un malware baptisé Atlantida. Celui-ci est conçu pour voler des informations comme des mots de passe et des portefeuilles de cryptomonnaies. Le groupe Void Banshee ciblait principalement des organisations en Amérique du Nord, en Europe et en Asie du Sud-Est. Comme sur l’autre faille similaire, affectant les fichiers PDF sur Adobe Acrobat Reader, cette dernière permettait également de contourner les protections du logiciel en exploitant des erreurs de gestion de la mémoire.

Microsoft a rapidement déployé un correctif pour cette faille Windows avec le Patch Tuesday de septembre 2024, tout comme Adobe pour Acrobat Reader. Cependant, même après le patch, certains utilisateurs pourraient encore être confus par les espaces invisibles utilisés dans les noms de fichiers. Il est donc essentiel de rester vigilant et de vérifier les extensions réelles avant d'ouvrir un fichier. Il est fortement recommandé de mettre à jour votre système pour éviter tout risque d'infection.

Source : Bleeping Computer