[Bulletin d’alerte Cyberprotect] Campagnes malveillantes visant les logiciels Java, Flash Player et Silverlight

Outre l’actualité particulière de la semaine dernière (http://labo.cyberprotect.fr/?p=1567), nous avons constaté la présence d’un script malveillant sur plusieurs sites légitimes français. Cette injection de script a pour but de rediriger la navigation de l’utilisateur, à son insu, dans le but de télécharger des logiciels malveillants. Après analyse du code malveillant par nos équipes, il s’avère…

Outre l’actualité particulière de la semaine dernière (http://labo.cyberprotect.fr/?p=1567), nous avons constaté la présence d’un script malveillant sur plusieurs sites légitimes français.

Cette injection de script a pour but de rediriger la navigation de l’utilisateur, à son insu, dans le but de télécharger des logiciels malveillants.

Après analyse du code malveillant par nos équipes, il s’avère que le script vérifie les versions des logiciels suivants : Java, Adobe Flash Player et Microsoft Silverlight.

Ainsi, si le poste de travail de l’utilisateur possède une version non à jour de l’un de ces logiciels, un exploit sera téléchargé par sa machine dans le but de la compromettre par des virus.

Ces étapes sont totalement transparentes pour l’utilisateur.

Nous vous rappelons qu’il est important de maintenir ces logiciels à jour, nous insistons encore sur la particularité de Java, Adobe Flash Player, et ici Microsoft Silverlight, qui sont des cibles privilégiées dans la compromission du réseau de l’entreprise.

Il est essentiel vérifier que vos postes utilisent bien les dernières versions de ces logiciels :

– Java 1.7.0_51 –> http://www.java.com/fr/download/
– Adobe Flash Player 13.0.0.182 → get.adobe.com/fr/flashplayer
– Microsoft Silverlight 5.1.20913.0 →  http://www.microsoft.com/silverlight/ (ou via Windows Update)

Ces logiciels ne sont pas toujours indispensables dans l’utilisation de services Web. Il est fortement recommandé de les désinstaller s’ils ne sont pas nécessaires à votre activité.

Nous recommandons également de bloquer les plages d’adresses IP suivantes :82.146.35.0/24 et 213.229.69.0/24 ainsi que le domaine suivant “jscriptload[point]com” sur vos équipements de sécurité périmétriques (pare-feu, proxy,…)

N’hésitez pas à diffuser ce bulletin d’alerte.

React