Quelques informations ci et là concernant les virus et les images.
Est-il possible de se faire infecter avec une image ?
Quels sont les risques en matière de sécurité informatique ?

La question avait été déjà posée sur la forum, dont voici le lien : Des images peuvent-elles réellement contenir un virus ?
Voici quelques détails.

Introduction

Dans cette page, nous verrons donc comment les images peuvent être porteuses de virus ou liés à ces derniers.
Nous verrons surtout :

• les vulnérabilités liées aux visionneuses d’images ou les librairies d’images.
• la stéganographie où comment dissimuler des données dans des images.
• Une autre méthode liée aux infections autour de l’utilisation d’images (ou pas)

Les virus dans les images

Les vulnérabilités sur les formats d’images

Plusieurs formats (png, gif, jpeg, tiff etc) existent et peuvent être lues par des logiciels : MSPaint, visionneuse d’images de Windows etc.
Comme tout logiciel, il peut arriver que des faiblesses et vulnérabilités soient découvertes.
Cela peut-être sur un logiciel d’images en particulier, sur le format d’images en lui même.
A partir de là, l’exploitation de ces vulnérabilités est possible pour éventuellement exécuter un code sur l’ordinateur et permettre donc d’infecter Windows.

Historiquement, cela est déjà arrivé par le passé… parmi les plus importantes on trouve notamment.

2005 – WMF

Fin 2005 CVE-2005-4560 et MS 912840, une vulnérabilité sur le format WMF (Windows Metafile graphics standard) qui a permis l’exécution de code.
Cette vulnérabilité a été exploitée par des campagnes d’emails malicieux mais aussi des Web Exploit.

Ci-dessous, un exemple de Web Exploit sur un site de crack, on peut voir le fichier .wmf sur la visionneuse d’images de Windows.

et les binaires qui sont exécutés sur l’ordinateur.
Il s’agit bien entendu de Trojan et autres logiciels malveillants.

et côté, email malicieux, soit des liens malicieux afin de charger l’image depuis un lien :

soit directement une image WMF en pièce jointe.
Le mail contient une image hot, histoire de donner envie d’ouvrir l’image malicieuse en pièce jointe.

sources :

• https://www.virusbulletin.com/virusbulletin/2007/07/hatemail-email
• https://www.sophos.com/zh-cn/press-office/press-releases/2006/01/wmffix.aspx

Vulnérabilités TIFF

TIFF est un vieux format d’image (1980), il existe de multiples librairies TIFF, même en dehors de Windows et notamment pour Mac ou Linux.

2010 – Libtiff et PDF

Une vulnérabilité CVE-2010-0188 visant Adobe Reader et permettant d’infecter des ordinateurs à partir de PDF contenant un exploit au format TIFF.
Cette vulnérabilité a été très utilisée par des Web Exploit : Exploitation SWF/PDF et Java – système non à jour = danger

En clair donc, vous visitez un site avec Adobe Reader en plugin,
Le site redirige vers un Web Exploit qui charge un PDF malicieux contenant l’image TIFF qui permet d’exploiter la vulnérabilité et exécuter le malware/virus.

source : http://sketchymoose.blogspot.fr/2012/06/tiff-buffer-overflow-in-pdf.html

2013 – Tiff et Microsoft Office

Une vulnérabilité sur la librairie TIFF de Microsoft a été publiée fin 2013 : CVE-2013-3906
Cette librairie TIFF Microsoft est en autre utilisée par Microsoft Office.
Cette exploitation a donc été utilisée à travers des documents Office et notamment Word contenant des images TIFF créés à cet effet.

Vous avez un exemple de campagne sur la page suivante : THE DUAL USE EXPLOIT: CVE-2013-3906 USED IN BOTH TARGETED ATTACKS AND CRIMEWARE CAMPAIGNS

Le Trojan Zbot a aussi été poussé par des campagnes d’emails Word malicieux.
Mars 2014 : RTF Attack Takes Advantage of Multiple Exploits

Comme expliqué précédemment, il existe de multiples librairies TIFF.
Ces autres librairies peuvent avoir des vulnérabilités.
Ci-dessous, deux exemples, la première concerne Apple et les Mac.
La seconde concerne le logiciel Spotlight.

• Vulnerability Spotlight: Apple Remote Code Execution With Image Files
• Vulnerability Spotlight: LibTIFF Issues Lead To Code Execution

2023 – vulnérabilité dans le format WebP

Google a attribué un nouvel identifiant CVE à une faille de sécurité critique dans la bibliothèque d’images libwebp pour le rendu d’images au format WebP, qui a fait l’objet d’une exploitation active dans la nature.

Classé CVE-2023-5129, le problème a reçu la note de gravité maximale de 10.0 dans le système d’évaluation CVSS. Il a été décrit comme un problème lié à l’algorithme de codage Huffman.

Avec un fichier WebP sans perte spécialement conçu, libwebp peut écrire des données hors limites dans le tas. La fonction ReadHuffmanCodes() alloue le tampon HuffmanCode avec une taille qui provient d’un tableau de tailles précalculées : kTableSize. La valeur color_cache_bits définit la taille à utiliser. Le tableau kTableSize ne prend en compte que les tailles pour les tables de recherche de premier niveau de 8 bits, mais pas les tables de recherche de second niveau. libwebp autorise des codes allant jusqu’à 15 bits (MAX_ALLOWED_CODE_LENGTH). Lorsque BuildHuffmanTable() tente de remplir les tables de second niveau, il peut écrire des données hors limites. L’écriture OOB dans le tableau sous-dimensionné se produit dans ReplicateValue.

En clair donc, avec une image WEBP malformée, il est possible d’exécuter un code à distance sur la machine.
De quoi permettre d’installer un malware, via une attaque Drive-By Download.

Stéganographie : dissimuler du code malveillant

La stéganographie est utilisée, de plus en plus, par les cybercriminels pour dissimuler et stocker des informations.
Une image étant composé de pixels qui eux mêmes sont composés de bits, il s’agit d’insérer des données à chaque bit.
L’image sera altérée mais cela peut-être invisible à l’oeil humain.
Le malware/virus pourra télécharger l’image, récupérer ses données pour les lire.

ZeusVM

La première utilisation à grande échelle fut par le Trojan ZeusVM.
Une fois le Trojan actif sur l’ordinateur, ce dernier va télécharger le fichier de configuration, contenant les banques à attaquer (formulaires etc).
Initialement, le fichier était de configuration était nu, directement lisible et en ligne. Les antivirus pouvaient donc détecter ce dernier, ce qui pouvait bloquer le fonctionnement du Trojan Zeus.
Le but ici, est donc de dissimuler le fichier de configuration dans une image.
Les antivirus n’y verront que du feu.

sources :

• http://www.xylibox.com/2014/04/zeusvm-and-steganography.html
• https://blog.malwarebytes.com/threat-analysis/2014/02/hiding-in-plain-sight-a-story-about-a-sneaky-banking-trojan/

Stegano Exploit Kit

Steagano Exploit Kit est donc un Web Exploit Kit qui utilise la stéganographie.
Les premières décourtes sont courant Octobre 2015.
C’est le premier ExploitKit de ce genre.

Déjà évoqué sur cette page Publicités malveillantes (malvertising) en fortes expansions, ce Kit est diffusé essentielle par des campagnes de publicités malicieuses (malvertising) dites “AdGholas malvertising campaign”.
C’est la bannière publicitaire qui utilise la stéganographie, comprenant un JavaScript avec une iframe redirigeant vers un tinyurl ou autre URL courte comme goo.gl pour charger ensuite le Steagano Exploit Kit.
Dans le cas observé, un Exploit Flash est utilisé qui charge un fichier GIF qui contient le malware/virus.

Un exemple d’infection par Steagano Exploit Kit (source ESET)

sources :

• https://www.proofpoint.com/us/threat-insight/post/massive-adgholas-malvertising-campaigns-use-steganography-and-file-whitelisting-to-hide-in-plain-sight
• http://www.welivesecurity.com/2016/12/06/readers-popular-websites-targeted-stealthy-stegano-exploit-kit-hiding-pixels-malicious-ads/

Autre cas d’utilisation d’image malveillants

Autres cas d’image malicieuse qui, en fait, ne sont pas des images… mais se font passer pour.
Des techniques utilisées depuis des années et des années, pour faire ouvrir des fichiers malicieux.
Le principe est simple, déguisé un exécutable en image, pour cela..

• On place l’image avec une double extension .jpg.exe – comme Windows masque les extensions, vous ne verrez que .jpg
• Puis on force l’icône de l’exécutable avec une icône image pour que l’utilisateur croit vraiment avoir affaire à une image.

On place, l’image dans un fichier archive .zip, .rar etc. ou un message automatique est envoyé “regarde cette photo”.

Ces techniques sont utilisées sur les campagnes de mails malicieux ou par le passé par les virus MSN qui peuvent être encore actifs sur Skype ou Facebook.

Conclusion

L’utilisation d’image directement malicieuse est plutôt rare.

En général, il s’agit d’exécutable se faisant passer pour une image.

Les vulnérabilités permettent toutefois de pouvoir utiliser les images comme vecteur de diffusion de virus/malwares, mais notez que ces images sont la plupart du temps embarqué dans d’autres formats de fichiers (Fichier Office, PDF etc).
On retrouve ensuite les vecteurs habituels : mails malicieux et Web Exploit.
Pour ce dernier, je vous renvoie au conseil habituel pour se protéger contre les vulnérabilités, à savoir maintenir Windows et vos logiciels à jour : Logiciels pour maintenir ses programmes à jour