Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Rapport HP : les cybercriminels profitent des vulnérabilités Zero Day avant l’application des correctifs par les entreprises

novembre 2021 par HP

HP a publié la dernière édition du HP Wolf Security Threat Insights Report, qui offre une analyse globale des cyber-risques actuels. En identifiant les menaces qui échappent aux outils de détection et atteignent les terminaux des utilisateurs, les équipes de HP Wolf Security ont pu observer de près les dernières techniques employées par les cybercriminels.

HP Wolf Security révèle que les cybercriminels se mobilisent rapidement pour tirer pleinement profit des nouvelles vulnérabilités Zero Day. Les premières exploitations de CVE-2021-40444, une vulnérabilité d’exécution de code à distance permettant de s’immiscer dans le moteur de navigateur MSHTML à l’aide de documents Microsoft Office, ont été relevées par HP le 8 septembre 2021, une semaine avant le correctif publié le 14 septembre.

Le 10 septembre, deux jours seulement après son premier bulletin, l’équipe de recherche HP a relevé le partage sur GitHub de scripts conçus pour automatiser la création de cette attaque. Faute de correctif, les cybercriminels compromettent les terminaux avec très peu d’interaction utilisateur. L’attaque s’opère par un fichier d’archivage qui déploie des programmes malveillants via un document Office. Les utilisateurs n’ont pas besoin d’activer des macros ni d’ouvrir de fichier : il suffit de l’afficher dans le volet de visualisation de l’explorateur de fichiers pour lancer l’attaque sans en avoir conscience. Une fois l’appareil compromis, les cybercriminels peuvent installer des backdoors (portes dérobées) sur le système et les revendre ensuite à des groupes spécialisés dans les ransomwares.

Les auteurs du rapport HP Wolf Security ont isolé d’autres menaces notables telles que :
• La multiplication du nombre de cybercriminels utilisant des fournisseurs cloud et web reconnus pour héberger des programmes malveillants : une récente campagne GuLoader hébergeait le cheval de Troie Remcos Remote Access Trojan (RAT) sur de grandes plateformes comme OneDrive pour échapper aux systèmes de détection d’intrusion et passer les tests de liste verte. HP Wolf Security a également découvert plusieurs familles de programmes malveillants sur des réseaux sociaux pour amateurs de jeux vidéo, dont Discord.
• Les programmes malveillants JavaScript échappant aux outils de détection : une campagne, diffusant divers RAT JavaScript, s’est propagée via des pièces jointes malveillantes. Les téléchargeurs JavaScript affichent un taux de détection inférieur à celui des téléchargeurs Office ou binaires. Les RAT sont de plus en plus courants, car les cybercriminels cherchent à voler les informations d’identification des comptes d’entreprise ou de portefeuilles de cryptomonnaie.
• La campagne ciblée au nom de la Caisse Nationale de Sécurité Sociale Ougandaise : des cybercriminels ont eu recours au « typosquat », en utilisant une adresse web factice ressemblant à un nom de domaine officiel, et ont ainsi attiré leurs cibles vers un site permettant de télécharger un document Word malveillant. Cette méthode consiste à se servir de macros pour exécuter un script PowerShell qui bloque le journal de sécurité et passe outre la fonctionnalité « interface AMSI » (Anti-Malware Scan Interface).
• Passer aux fichiers HTA afin de propager des programmes malveillants en un clic : le cheval de Troie Trickbot s’installe désormais via des fichiers HTA (application HTML) qui déploient le programme malveillant dès l’ouverture de la pièce jointe ou du fichier d’archivage qui le contient. Le format HTA étant rare, les outils de détection sont moins susceptibles de repérer les fichiers malveillants de ce type.

« En moyenne, le temps nécessaire pour qu’une entreprise applique, teste et déploie entièrement les correctifs avec les vérifications appropriées est de 97 jours. Ce laps de temps confère aux cybercriminels la possibilité d’exploiter cette fenêtre de vulnérabilité. Alors qu’auparavant, seuls des cybercriminels chevronnés savaient exploiter cette vulnérabilité, les scripts automatisés ont abaissé le niveau de compétence requis des attaquants. Les entreprises courent désormais un risque considérable : les attaques Zero Day se banalisent et se retrouvent sur le mass market, notamment via des forums clandestins », explique Alex Holland, Senior Malware Analyst de l’équipe de HP Wolf Security. « Ces nouvelles attaques ont tendance à échapper aux outils de détection, car les signatures deviennent rapidement obsolètes à mesure que la portée d’une attaque évolue. Nous nous attendons à ce que les pirates intègrent CVE-2021-40444 à leur arsenal, voire même, qu’ils le préfèrent à des attaques plus couramment utilisées pour obtenir un accès direct aux systèmes, comme celles qui exploitent Equation Editor ». « Nous constatons également que des grandes plateformes - comme OneDrive - permettent aux pirates de mener des attaques éphémères. Alors que les programmes malveillants hébergés sur ces plateformes sont généralement supprimés rapidement, cela ne dissuade pas les cybercriminels car ils peuvent souvent atteindre leur objectif de diffusion de programmes malveillants en quelques heures, tant que les liens sont actifs », poursuit Alex Holland. « Certains pirates changent le script ou le type de fichier qu’ils utilisent tous les mois. Les fichiers JavaScript et HTA malveillants ne sont pas une nouveauté, mais ils arrivent toujours dans les boîtes de réception des employés, mettant l’entreprise en danger. Par exemple, une campagne a déployé Vengeance Justice Worm, qui peut se propager à d’autres systèmes et clés USB », observe-t-il. Les conclusions du rapport sont fondées sur les données de millions de terminaux équipés de HP Wolf Security. HP Wolf Security surveille les programmes malveillants en exécutant les tâches risquées dans des micromachines virtuelles (micro MV), isolées pour analyser et capturer l’intégralité de la chaîne d’infection. Les menaces qui n’ont pas été détectées en amont peuvent être capturées et éliminées, et le nombre résiduel à traiter par les autres outils de sécurité est fortement réduit. Cela a permis aux clients de cliquer sur plus de 10 milliards de pièces jointes, de pages web et de téléchargements sans qu’aucune brèche n’ait été signalée. En comprenant mieux le comportement des programmes malveillants, les chercheurs et ingénieurs de l’équipe HP Wolf Security peuvent renforcer la sécurité des terminaux et la résilience globale des systèmes.

Les principales conclusions du rapport sont les suivantes :

• 12 % des programmes malveillants envoyés par e-mails ont contourné au moins un scanner de passerelle de messagerie.
• 89 % des programmes malveillants détectés ont été envoyés par e-mail, contre 11 % via des téléchargements web et moins de 1 % via d’autres vecteurs, tels que les périphériques de stockage amovibles.
• Les pièces jointes les plus couramment utilisées pour diffuser des programmes malveillants sont les fichiers archive (38 % contre 17,26 % au dernier trimestre), les documents Word (23 %), les feuilles de calcul (17 %) et les fichiers exécutables (16 %).
• Les cinq techniques d’hameçonnage les plus couramment utilisées sont liées à des transactions commerciales, avec les mots-clés « commande », « paiement », « nouveau », « devis » et « demande ».
• 12 % des programmes malveillants capturés étaient inconnus auparavant.

« Nous ne pouvons pas continuer à nous fier uniquement à la détection. Le monde des menaces est trop dynamique et, comme le montre l’analyse des risques, les cybercriminels échappent de plus en plus à la détection », commente le Dr Ian Pratt, Global Head of Security pour la division Systèmes Personnels HP. Avant d’ajouter : « Les organisations doivent adopter une approche multicouche de la sécurité des terminaux, suivant les principes du Zero Trust pour contenir et isoler les vecteurs d’attaque les plus courants tels que les e-mails, les navigateurs et les téléchargements. Cela offrira aux entreprises la marge de manœuvre nécessaire pour coordonner les cycles de correctifs en toute sécurité, en maintenant la continuité des services ».

Ces données ont été recueillies au sein des machines virtuelles des clients HP Wolf Security de juillet à septembre 2021.




Voir les articles précédents

    

Voir les articles suivants