Chacun de leur côté, Websense (solutions de filtrage Internet) et Sucuri (monitoring et sécurité de sites Web) ont relevé au cours du week-end une nouvelle vague d’attaques de type « zero-day » visant le CMS WordPress et le plug-in TimThumb (permettant de changer la taille des photos).
Initialement, la faille avait été révélée début août par Mark Maunder, qui dirige la start-up Feedjit basée à Seattle (analyse de trafic sur les sites Web).
Une mise à jour de l’extension a immédiatement été publiée car tout site Web exploitant WordPress (outil open source de gestion de contenus) étaient susceptibles d’être infecté via la faille « zero-day ».
Comment se passe la propagation ? Premièrement, le nom de domaine infecté hxxp://superpuperdomain.com/ a été injecté dans le code des blogs corrompus sous WordPress.
Ce code JavaScript malveillant était destiné à être diffusé par voie de messages publicitaires destinés aux utilisateurs finaux à travers des systèmes de redirection vers les moteurs de recherche.
Mais Websense a repéré en fin de semaine dernière une nouvelle vague offensive à partir d’une adaptation du code infecté (via hxxp://superpuperdomain2.com/).
Dans une contribution blog en date du 15 août, Carl Leonard, Directeur des recherches pour le laboratoire de sécurité du spécialiste américain des solutions de filtrage sur Internet, synthétise l’assaut en trois phases : « La première phase consistait à afficher des publicités aux utilisateurs finaux, en guise de test pour voir si la vulnérabilité fonctionnait. Une fois parvenue à cette étape, les pirates ont lancé des attaques sur les sites-blogs vulnérables, quitte à exploiter des variantes de code et contourner les outils anti-virus. »
L’expert en sécurité IT poursuit : « Dans la deuxième phase, le but était de compromettre le plus de sites possibles avant publication d’un correctif. »
Phase 3 : « Avec des dizaines de milliers de sites infectés [20 000 a priori, ndlr], les pirates changent les fichiers de configuration pour ouvrir une porte dérobée [backdoor]. Même quand la rustine est mise en place, les auteurs du malware sont toujours capables d’injecter n’importe quel code dans le futur. »
De son côté, Sucuri précisait dans une contribution blog en date du 11 août qu’il ne s’agit pas d’une vulnérabilité liée à WordPress mais on la trouve dans des thèmes WordPress incluant TimThumb.
« Vous devez être sûr que vous disposez d’un thème réactualisé récupéré à partir d’une source légitime », conseille Sucuri.
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…