Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Microsoft Windows et Chrome victimes d’une série d’attaques ciblées exécutées à l’aide d’exploits zero-day

juin 2021 par Kaspersky

En avril, les experts de Kaspersky ont détecté un certain nombre d’attaques extrêmement ciblées visant plusieurs entreprises et réalisées au moyen d’une chaîne d’exploits zero-day inconnue à ce jour sur Google Chrome et Microsoft Windows. L’un de ces exploits était une exécution de code à distance dans Chrome, l’autre une élévation des privilèges sophistiquée ciblant les toutes dernières versions de Windows 10.

Ce dernier exploite deux vulnérabilités du noyau du système d’exploitation de Microsoft Windows : la vulnérabilité CVE-2021-31955 (divulgation d’informations) et la vulnérabilité CVE-2021-31956 (élévation des privilèges). Microsoft a apporté des correctifs pour chacun de ces deux exploits dans le cadre de son initiative Patch Tuesday.

Une vague d’attaques perpétrées au moyen d’exploits de type zero-day a pu être observée ces derniers mois. Mi-avril, les experts de Kaspersky ont détecté une nouvelle série d’attaques par exploit dirigées contre plusieurs entreprises ciblées, qui ont permis aux attaquants de compromettre furtivement les réseaux visés.

Kaspersky n’a pas encore pu établir de lien entre ces attaques et des groupes cybercriminels connus. En attendant de récolter davantage d’informations, ce groupe a été baptisé PuzzleMaker.

Toutes les attaques ont été menées via Chrome et ont utilisé un exploit permettant d’exécuter un code à distance. Si les chercheurs de Kaspersky n’ont pas été en mesure de retrouver le code de cet exploit, sa chronologie et sa disponibilité suggèrent que les attaquants ont exploité la vulnérabilité CVE-2021-21224, qui a désormais reçu un correctif. Cette vulnérabilité était liée à un bug Type Mismatch dans le V8 - un moteur JavaScript utilisé par les navigateurs Chrome et Chromium. Elle a permis aux attaquants d’exploiter le processus de rendu de Chrome, responsable de ce qui s’affiche dans l’onglet des utilisateurs.

Cependant, les experts de Kaspersky ont réussi à trouver et à analyser le deuxième exploit : une élévation des privilèges qui exploite deux vulnérabilités distinctes du noyau du système d’exploitation de Microsoft Windows. La première (CVE-2021-31955) est une vulnérabilité de type Divulgation d’informations, qui permet d’extraire des données sensibles du noyau. Celle-ci est liée à SuperFetch, une fonctionnalité introduite pour la première fois dans Windows Vista qui vise à réduire le temps de chargement des logiciels en plaçant en cache les programmes les plus utilisés.

La seconde (CVE-2021-31956) est une élévation des privilèges permettant aux attaquants d’exploiter le noyau pour obtenir des droits d’accès indus à l’ordinateur, et qui appartient à la catégorie des dépassements de tas. Les cybercriminels ont exploité la vulnérabilité CVE-2021-31956 en utilisant parallèlement la fonction de notification de Windows (WNF) pour créer arbitrairement des droits de lecture et d’écriture dans la mémoire et exécuter des malwares grâce aux nouveaux privilèges ainsi obtenus.

Dès lors que les attaquants arrivent à s’introduire dans le système ciblé grâce aux exploits Chrome et Windows, le module de lancement télécharge et exécute un injecteur de malware plus sophistiqué depuis un serveur à distance. L’injecteur installe deux exécutables qui imitent des fichiers légitimes appartenant au système d’exploitation Microsoft Windows. Le second est un module de type remote shell, qui peut télécharger et déposer des fichiers, créer des processus, se mettre en veille pendant un certain temps et s’auto-supprimer du système infecté.

Microsoft a apporté des correctifs pour chacune de ces deux vulnérabilités Windows dans le cadre de son initiative Patch Tuesday.

« Si ces attaques ont été très ciblées, nous n’avons pas encore pu établir de lien avec le moindre groupe cybercriminel connu. C’est pourquoi nous l’avons baptisé « PuzzleMaker ». Nous continuerons de surveiller attentivement les menaces informatiques pour détecter les activités futures de ce groupe et récolter de nouvelles informations à son sujet. Globalement, nous avons assisté dernièrement à des vagues d’attaques de grande ampleur basées sur des exploits zero-day. Cela démontre une fois de plus que les attaques de type zero-day demeurent la méthode la plus efficace pour infecter les cibles. Maintenant que ces vulnérabilités sont connues, il est possible que nous assistions à une recrudescence de ces attaques par le groupe en question et d’autres organisations cybercriminelles. Il est donc capital que les utilisateurs téléchargent les derniers correctifs de Microsoft le plus vite possible », souligne Boris Larin, chercheur en cybersécurité senior au sein de la Global Research and Analysis Team de Kaspersky (GReAT).

Les solutions Kaspersky permettent de détecter et de contrer les exploits ciblant les vulnérabilités précitées ainsi que les modules de malwares associés. Pour en savoir plus sur les nouvelles vulnérabilités zero-day, rendez-vous sur Securelist.

Pour protéger votre entreprise des attaques exploitant les vulnérabilités décrites, les experts de Kaspersky invitent à suivre les recommandations suivantes :
• Mettre à jour votre navigateur Chrome et Microsoft Windows dès que possible et de façon régulière ;
• Utiliser une solution de protection des terminaux éprouvée, comme Kaspersky Endpoint Security for Business, qui offre des fonctionnalités telles que la prévention des exploits, la détection des comportements anormaux et un moteur de correction pour neutraliser les tentatives malveillantes ;
• Installer des solutions anti-APT et EDR, qui offrent des capacités avancées de détection et de découverte des menaces, d’investigation et de traitement des incidents. Fournir aux opérateurs de SOC l’accès aux toutes dernières données en matière de menaces et leur dispenser des formations régulières pour les aider à actualiser leurs compétences. Toutes ces mesures sont incluses dans la gamme de solutions Kaspersky Expert Security ;
• En plus d’une protection efficace des terminaux, certains produits ciblés peuvent aider à se prémunir contre les attaques de grande ampleur. La solution Kaspersky Managed Detection and Response permet d’anticiper et de bloquer les attaques avant que les cyberpirates n’arrivent à leurs fins.




Voir les articles précédents

    

Voir les articles suivants