Un fichier exécutable Node.js fourni avec Adobe Creative Cloud Experience peut être utilisé pour propager des logiciels malveillants (s’ouvre dans un nouvel onglet) et compromettre un ordinateur cible, disent les chercheurs en sécurité.
Le chercheur en cybersécurité Michael Taggart a récemment publié un fichier JavaScript de preuve de concept, engendrant l’application Windows Calculator, avec laquelle il a pu exécuter des scripts malveillants sur un terminal. (s’ouvre dans un nouvel onglet).
« J’ai confirmé que le node.exe fourni avec le service Adobe Customer Experience peut exécuter n’importe quel JavaScript vers lequel vous le pointez », a déclaré Taggart.
Faux positifs
« Ainsi, la chaîne d’attaque peut ressembler à un programme d’installation ou à un fichier zip qui tombe [a JavaScript file]ou même une macro qui dépose JavaScript dans un répertoire accessible en écriture par l’utilisateur, puis invoque le propre node.exe d’Adobe pour l’exécution. »
Tirer parti de Node.js n’est cependant pas aussi simple qu’il y paraît, car l’attaquant aurait toujours besoin d’accéder à l’appareil par d’autres moyens. Cela – ou ils auraient besoin de persuader d’une manière ou d’une autre la victime de télécharger et d’exécuter le script.
Cependant, sa disponibilité facilite le montage d’une attaque et sa dissimulation, ajoute la publication.
« Parce que JavaScript est invoqué par le chemin dans C: Program Files, il serait extrêmement difficile à détecter du point de vue de la surveillance / de la chasse aux menaces », a expliqué Taggart, qui a déclaré que son compte-gouttes de fichiers personnalisé exécutait et exécutait un agent C2 sans cela. autant qu’un avertissement de Windows Defender.
Par conséquent, conclut le chercheur, son cas d’utilisation numéro un serait d’exécuter du code non signé sans déclencher l’alarme.
Là où il y a de la fumée, il y a forcément un incendie. Les utilisateurs d’Adobe ont mis en garde contre node.exe dans le passé, Le registre a constaté, car les messages du forum, datant de décembre 2021, ont mis en garde contre la cybersécurité et les programmes antivirus signalant node.exe comme un risque de sécurité.
Les chercheurs en cybersécurité ont généralement rejeté ces avertissements comme de faux positifs.
Via : Le Registre (s’ouvre dans un nouvel onglet)