Une vulnérabilité de type "zero-day" est essentiellement un bug logiciel inconnu. Dès son identification et sa découverte, elle permet aux attaquants de mener des activités malveillantes cachées, ce qui entraîne des conséquences inattendues et destructrices.

En analysant l’exploit CVE-2021-1732, les experts Kaspersky ont découvert un autre Zero-Day du même type et l’ont reporté à Microsoft en février. Après la confirmation qu’il s’agissait bien d’un zero-day, il a reçu la désignation CVE-2021-2831.

Selon les chercheurs, cet exploit est utilisé dans la nature, potentiellement par plusieurs acteurs de menaces. Il s’agit un exploit d’élévation de privilèges (EoP), découvert dans Desktop Windows Manager, permettant aux attaquants d’exécuter du code arbitraire sur la machine d’une victime.

Il est probable que l’exploit soit utilisé avec d’autres exploits de navigateur pour échapper aux sandboxes ou obtenir des privilèges système pour un accès ultérieur.

L’enquête initiale de Kaspersky n’a pas révélé la chaîne d’infection complète, de sorte que l’on ne sait pas encore si l’exploit est utilisé avec un autre zero-day ou couplé avec des vulnérabilités connues et corrigées.

« L’exploit a été initialement identifié par notre technologie avancée de prévention des exploits et les enregistrements de détection associés. En fait, au cours des dernières années, nous avons intégré à nos produits une multitude de technologies de protection contre les exploits qui ont détecté plusieurs zero-days, prouvant ainsi leur efficacité à maintes reprises. Nous continuerons à améliorer les défenses pour nos utilisateurs en perfectionnant nos technologies et en travaillant avec des fournisseurs tiers pour corriger les vulnérabilités, rendant ainsi l’internet plus sûr pour tous », commente Boris Larin, expert en sécurité chez Kaspersky.

Un correctif pour la vulnérabilité d’élévations de privilèges CVE-2021-28310 a été publié le 13 avril 2021.

Les produits Kaspersky détectent cet exploit avec les verdicts suivants :

HEUR:Exploit.Win32.Generic

HEUR:Trojan.Win32.Generic

PDM:Exploit.Win32.Generic

Pour rester en sécurité vis-à-vis de cette menace, Kaspersky recommande de prendre les mesures suivantes :

Installer les correctifs pour la nouvelle vulnérabilité dès que possible. Une fois le correctif téléchargé, les acteurs de la menace ne peuvent plus abuser de la vulnérabilité.

Les fonctionnalités de gestion des vulnérabilités et des correctifs d’une solution de protection endpoint peuvent simplifier considérablement la tâche des responsables de la sécurité informatique

Donner aux équipes SOC l’accès aux dernières informations sur les menaces (TI). Kaspersky Threat Intelligence Portal est un point d’accès unique à la TI de l’entreprise, qui fournit des données sur les cyberattaques et des informations recueillies par Kaspersky depuis plus de 20 ans.

Outre l’adoption d’une protection essentielle des terminaux, mettre en œuvre une solution de sécurité de niveau entreprise qui détecte les menaces avancées au niveau du réseau à un stade précoce, comme Kaspersky Anti Targeted Attack Platform.