Un fichier vidéo peut-il contenir un virus ?
17 septembre 2020 | publié par Yiyi Miao
Publié à l’origine le 17 février 2014.
Les fichiers vidéo ne sont généralement pas considérés comme des types de fichiers potentiellement malveillants ou infectés, mais il est possible que des logiciels malveillants soient intégrés ou déguisés en fichier vidéo. En raison de cette idée fausse courante, les fichiers audio et vidéo sont des vecteurs de menace intrigants pour les auteurs de logiciels malveillants.
Pourquoi le souci des fichiers vidéo ?
- Les lecteurs multimédias sont des logiciels fréquemment utilisés, les utilisateurs ont tendance à les utiliser pendant une période prolongée en les laissant ouverts pendant d’autres tâches et à changer fréquemment de flux multimédias.
- De nombreuses vulnérabilités se trouvent dans les lecteurs multimédias. NIST [1] montre plus de 1 200 vulnérabilités de 2000 à 2014 [2]. Début 2020, le NIST a enregistré une nouvelle vulnérabilité de haute gravité, CVE-2020-0002, dans Android Media Framework.
- Un contenu vidéo attrayant et un Internet haut débit amènent les utilisateurs à télécharger et à partager sans y prêter attention, et comme ces fichiers sont perçus comme relativement inoffensifs, les utilisateurs sont susceptibles de lire les fichiers qui leur sont donnés.
- Les formats de fichiers impliqués sont des flux binaires et ont tendance à être raisonnablement complexes. Beaucoup d’analyses sont nécessaires pour les manipuler, et les calculs de lecture peuvent facilement entraîner des bogues entiers.
- Le fichier est généralement volumineux ; les utilisateurs sont susceptibles d’ignorer les solutions de numérisation pour éviter un impact sur les performances.
- Ils sont perçus comme relativement inoffensifs – les utilisateurs sont susceptibles de lire les fichiers qui leur sont donnés.
- Il existe une grande variété de lecteurs audio différents et de nombreux codecs et plug-ins de fichiers audio différents, tous écrits par des personnes généralement non axées sur la sécurité.
- Les utilisateurs téléchargent des vidéos à partir de nombreuses sources peu fiables, et les vidéos s’exécutent avec des privilèges et une priorité assez élevés. Par exemple, dans Windows Vista, une instance d’Internet Explorer avec peu de privilèges peut lancer du contenu dans un lecteur Windows Media avec des privilèges plus élevés.
- Les vidéos sont fréquemment invoquées sans la reconnaissance explicite de l’utilisateur (c’est-à-dire intégrées dans une page Web) [3].
Vecteurs de vulnérabilité typiques
Fuzzing du lecteur multimédia par un fichier vidéo modifié
Le fuzzing est une méthode générique pour forcer un programme à se comporter de manière inattendue en fournissant des données invalides, inattendues ou aléatoires aux entrées.
Fuzzing est conçu pour trouver des bogues profonds et est utilisé par les développeurs pour assurer la robustesse du code, cependant, le meilleur outil d’un développeur peut également être utilisé pour exploiter l’utilisateur. Pour les lecteurs multimédias, qui sont censés être « au format strict », un fichier vidéo réel corrompu peut exposer de nombreux bogues, la plupart causés par le déréférencement des pointeurs nuls. Cela se traduit par un accès mémoire inapproprié, qui offre la possibilité d’écrire en mémoire quelque chose qui n’est pas destiné à être écrit [4]. Heureusement, le fuzzing des lecteurs multimédias nécessite une connaissance approfondie du format de fichier, sinon le fichier corrompu sera simplement ignoré par le lecteur.
Intégration d’hyperliens dans un fichier vidéo
Une méthode plus directe est obtenue en incorporant une URL dans des fichiers multimédias modernes.
Par exemple, Microsoft Advanced System Format (ASF) permet d’exécuter des commandes de script simples. Dans ce cas, « URLANDEXIT » est placé à une adresse précise et suivant n’importe quelle URL. Lorsque ce code s’exécute, l’utilisateur est invité à télécharger un fichier exécutable, souvent déguisé en codec et invitant l’utilisateur à télécharger afin de lire le média.
MetaDefender Cloud, l’outil de multi-analyse anti-malware d’OPSWAT, a un exemple d’un tel fichier : https://metadefender.opswat.com/results#!/file/c88e9ff9e59341eba97626d5beab7ebd/regular/information.
Le nom de la menace est « GetCodec ». Dans cet exemple, le lecteur multimédia a été redirigé vers un lien pour télécharger un cheval de Troie. Voir le cheval de Troie scanné ici.
Exemples d’exploits de type de fichier
Vous trouverez ci-dessous un tableau répertoriant les formats de fichiers multimédias populaires qui ont été exploités en acheminant l’utilisateur vers des sites malveillants ou en exécutant des codes arbitraires à distance sur les systèmes des utilisateurs cibles.
| Format de fichier | Détection | La description |
| les fenêtres .wma/.wmv |
Téléchargeur-UA.b | Exploite une faille dans la gestion des droits numériques |
| Moyenne réelle .rmvb |
W32/Realor.worm | Infecte les fichiers Real Media pour intégrer un lien vers des sites malveillants |
| Moyenne réelle .rm/.rmvb |
Fabriqué par l’homme | Lance des pages Web malveillantes sans invite |
| QuickTime.mov | Fabriqué par l’homme | Lance des hyperliens intégrés vers des sites pornographiques |
| Adobe Flash.swf | Exploit-CVE-2007-0071 | Vulnérabilité dans la balise DefineSceneAndFrameLabelData |
| Windows.asf | W32/GetCodec.worm | Infecte les fichiers .asf pour intégrer des liens vers des pages Web malveillantes |
| Adobe Flash.swf | Exploit-SWF.c | Vulnérabilité dans l’opcode « nouvelle fonction » AVM2 |
| QuickTime.mov | Fabriqué par l’homme | Exécute du code arbitraire sur le système de l’utilisateur cible |
| Adobe Flash.swf | Exploit-CVE-2010-2885 | Vulnérabilité dans ActionScript Virtual Machine 2 |
| Adobe Flash.swf | Exploit-CVE2010-3654 | Vulnérabilité dans la classe de bouton AVM2 MultiName |
| Windows .wmv | Exploiter CVE-2013-3127 | Vulnérabilité d’exécution de code à distance du décodeur vidéo WMV |
| Vidéo Matroska .mkv | Exploit-CVE2019-14438 | Vulnérabilité dans VLC, exécute du code arbitraire avec des privilèges sur le système de l’utilisateur cible |
Solutions
De nombreux fournisseurs de logiciels anti-programme malveillant ont désormais ajouté une détection en recherchant les signatures d’URL dans les fichiers de type multimédia. La technologie OPSWAT MetaDefender Multiscanning exploite plus de 35 moteurs anti-malware et améliore considérablement la détection des menaces connues et inconnues. Deep CDR prend également en charge les formats de fichiers vidéo et audio et peut aider à prévenir les attaques Zero Day. La technologie d’évaluation des vulnérabilités basée sur les fichiers de MetaDefender peut détecter les vulnérabilités dans les programmes d’installation des lecteurs multimédias avant qu’ils ne soient installés.
Si vous n’avez pas de solutions OPSWAT, vous devez accorder plus d’attention aux fichiers multimédias, ne pas afficher les fichiers non fiables, ne jamais exécuter de lecteurs multimédias avec des privilèges élevés et ne pas accepter les téléchargements de codecs inconnus ou de licences étranges. Gardez toujours votre logiciel de lecteur multimédia à jour pour éviter les vulnérabilités.
Les références
[1] Base de données nationale sur la vulnérabilité.
[2] Killer Music : les pirates informatiques exploitent les vulnérabilités du lecteur multimédia.
[3] David Thiel. « Exposer les vulnérabilités dans les logiciels multimédias ».
[4] Colleen Lewis, Barret Rhoden, Cynthia Sturton. « En utilisant des données aléatoires structurées pour précisément Fuzz Media Players ».
Pour plus d’informations, veuillez contacter l’un de nos experts en cybersécurité des infrastructures critiques.