Actualités Foxit Reader : sécurité et mises à jour exe
Avec 425 millions d'utilisateurs dans le monde, Foxit Reader est une cible de choix pour les cybercriminels. Ce n'est pas une hypothèse : les attaques sont documentées, actives, et les vecteurs exploités sont précis. Voici ce que vous devez savoir pour ne pas être la prochaine victime.
Vulnérabilités critiques de Foxit Reader : ce qui se passe en ce moment
Le groupe APT-C-35, aussi connu sous le nom DoNot Team, exploite activement une faille dans le mécanisme d'affichage des alertes de sécurité de l'application. Le principe est redoutablement simple : quand un fichier PDF malveillant tente d'exécuter une action suspecte, une fenêtre d'avertissement s'affiche. Mais l'option sélectionnée par défaut valide l'exécution plutôt que de la bloquer. Deux clics sur "OK" suffisent à déclencher l'exploit.
C'est le genre de faille qui mise sur l'inattention. La majorité des utilisateurs cliquent instinctivement sur la réponse par défaut sans lire le message. Résultat : un code malveillant se télécharge depuis un serveur distant et s'exécute sur la machine. Ce qui rend cette attaque particulièrement insidieuse, c'est qu'elle exploite un mécanisme natif de l'application, ce qui la rend plus difficile à détecter par les antivirus traditionnels.
Les malwares déployés via cette vulnérabilité sont nombreux et variés :
- VenomRAT, Agent-Tesla, Remcos — trojans d'accès à distance massivement utilisés
- NjRAT, NanoCore RAT, AsyncRAT — outils de surveillance et d'exfiltration de données
- Pony, Xworm, DCRat — voleurs de credentials et outils de contrôle complet
Dans la quasi-totalité des cas analysés, les fichiers PDF malveillants exécutaient une commande PowerShell pour télécharger et lancer une charge utile depuis un serveur distant. Élémentaire, efficace, difficile à bloquer sans mise à jour.
La campagne PureRAT mérite une attention particulière. Elle cible spécifiquement les demandeurs d'emploi par email. L'attaque utilise une version renommée de l'exécutable FoxitPDFReader.exe — par exemple CompensationBenefitsCommission.exe — qui conserve le logo officiel pour paraître légitime. L'archive accompagnatrice contient un fichier DLL malveillant msimg32.dll pour réaliser un DLL side-loading. Un fichier document.bat orchestre l'extraction d'un environnement Python caché, et un shellcode loader encodé en base64 est téléchargé depuis l'adresse IP 196.251.86.145. Le python.exe est ensuite renommé zvchost.exe pour se fondre dans les processus système. Le certificat SSL de ce malware présente une validité allant jusqu'au 31 décembre 9999 — une aberration technique qui trahit immédiatement une génération automatisée.
Mises à jour de sécurité — ce que les versions 2024.3 et 2024.4 corrigent
Foxit Software Incorporated a publié des correctifs décisifs. Les versions 2024.3 et 2024.4 de Foxit Reader corrigent directement la vulnérabilité exploitée par APT-C-35. Franchement, si vous n'avez pas encore mis à jour, c'est la priorité absolue.
Les mises à jour de décembre 2024 — Foxit PDF Reader 2024.4 et Foxit PDF Editor 2024.4/13.1.5 pour Windows, ainsi que les versions Mac équivalentes — traitent un spectre de vulnérabilités bien plus large :
| Type de vulnérabilité | Impact potentiel | Corrigé dans |
|---|---|---|
| Invocation d'URL non approuvée (XFA) | Exécution d'actions malveillantes, exfiltration de ressources | 2024.4 |
| Informations de vérification de signature incorrectes | Manipulation de documents signés | 2024.4 |
| Use-After-Free (AcroForms, objets 3D) | Exécution de code à distance | 2024.4 |
| Détournement de DLL (edputil.dll) | Exécution d'actions malveillantes | 2024.4 |
| Escalade de privilèges système | Exécution de code arbitraire en contexte SYSTÈME | 2024.4 |
Le 4 août 2024, une vulnérabilité de type Cross-Site Scripting (XSS) a été identifiée dans Foxit PDF Editor Cloud, résultant d'un isolement incomplet de l'environnement d'exécution JavaScript dans les PDF. Les mises à jour de mai 2024 avaient quant à elles corrigé un problème similaire à celui exploité par APT-C-35 : l'option "OK" sélectionnée par défaut lors de l'ouverture de PDF contenant une action "Lancer le fichier", ainsi qu'une faille TOCTOU lors des mises à jour.
Pour mémoire, l'historique de sécurité de l'application remonte loin. Le 22 août 2017, deux vulnérabilités zero-day (CVE-2017-10951 et CVE-2017-10952) permettaient l'exécution de fonctions JavaScript puissantes en dehors du mode de lecture sécurisée. Le 15 mars 2011, l'alerte Secunia Advisory SA43776 pointait une faille dans la fonction JavaScript createDataObject(). Et en août 2019, un accès non autorisé aux systèmes de données de l'éditeur avait exposé des adresses email, mots de passe et noms d'utilisateurs — sans données de paiement, heureusement.
Protéger votre installation : actions concrètes à mener maintenant
La première chose à faire est évidente : mettre à jour vers la version 2024.4 minimum. Pour les environnements d'entreprise, vérifiez que le déploiement couvre toutes les machines, car une seule instance non mise à jour suffit à compromettre un réseau.
Au-delà de la mise à jour, plusieurs réglages réduisent drastiquement la surface d'attaque. Le "gestionnaire de confiance" intégré à l'application permet de bloquer l'exécution de scripts externes. La désactivation du JavaScript dans les préférences élimine une large catégorie de vecteurs d'attaque — au prix de quelques fonctionnalités avancées, certes, mais le compromis en vaut la peine pour la plupart des usages professionnels.
Face à une pièce jointe inattendue portant le nom ou le logo de Foxit Reader, réfléchissez deux fois. Un exécutable légitime ne se distribue pas par email. La campagne PureRAT repose précisément sur ce réflexe de confiance envers une marque connue. Vérifiez systématiquement le nom exact du fichier et son extension avant tout lancement.
Pour les équipes sécurité, surveiller les connexions sortantes vers des IP inconnues et les processus portant des noms suspects comme zvchost.exe fait partie des indicateurs de compromission à monitorer activement. La vulnérabilité Log4j 2, identifiée le 9 décembre 2021, a montré que même les composants tiers embarqués peuvent devenir des portes d'entrée — l'écosystème complet d'une application mérite une attention soutenue, pas seulement l'exécutable principal.
L'auteur
Hello Pierre, j’ai toujours eu un faible pour les idées qui éclairent, celles qui donnent ce petit déclic dans la tête — un peu comme un tableau qui prend soudain tout son sens quand on prend le temps de le regarder.
Sur mon site, je mélange curiosité et pédagogie : j’explique, je simplifie, je creuse. Que ce soit pour comprendre un concept, apprendre autrement ou juste nourrir l’envie de savoir, je construis chaque page comme une passerelle entre la complexité et la clarté.
Pas de grands discours, juste une conviction : apprendre doit rester une aventure vivante.