MysterySnail: Kaspersky découvre un exploit Zero-Day dans le système d’exploitation Windows

0

À la fin de l’été 2021, les solutions de détection automatique de Kaspersky ont empêché une série d’attaques utilisant un exploit portant sur l’élévation de privilèges via plusieurs serveurs Microsoft Windows. Après une analyse plus approfondie de l’attaque, les chercheurs de Kaspersky ont découvert un nouvel exploit Zero-Day.

Tribune – Au cours du premier semestre 2021, les experts Kaspersky ont observé une augmentation des attaques utilisant des vulnérabilités Zero-Day. Une vulnérabilité de type « Zero-Day » est un bug logiciel inconnu découvert par des hackers pour lequel aucun correctif n’a été mis en place. 

Les solutions de Kaspersky ont détecté une série d’attaques utilisant un exploit via l’élévation de privilèges sur plusieurs serveurs Microsoft Windows. Cet exploit comportait de nombreuses chaînes de débogage provenant d’un exploit plus ancien et publiquement connu pour la vulnérabilité CVE-2016-3309. Cependant, une analyse plus approfondie révèle que les chercheurs de Kaspersky ont découvert un nouvel exploit Zero-Day. Ils l’ont nommé MysterySnail.

L’exploit en question est compatible avec les versions suivantes de Windows :

  • Microsoft Windows Vista
  • Microsoft Windows 7
  • Microsoft Windows 8
  • Microsoft Windows 8.1
  • Microsoft Windows Server 2008
  • Microsoft Windows Server 2008 R2
  • Microsoft Windows Server 2012
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows 10 (build 14393)
  • Microsoft Windows Server 2016 (build 14393)
  • Microsoft Windows 10 (build 17763)
  • Microsoft Windows Server 2019 (build 17763)

La similitude du code découvert avec l’infrastructure de commande et de contrôle (C&C) et sa réutilisation ont permis aux chercheurs de relier ces attaques au tristement célèbre groupe de hackers IronHusky et à ses activités APT perpétrées en mandarin en 2012.

En analysant le malware utilisé avec l’exploit Zero-Day, les chercheurs de Kaspersky ont découvert que des variantes de celui-ci ont été utilisées dans des campagnes d’espionnage à grande échelle contre des sociétés informatiques, des organisations militaires et de défense ainsi que des entités diplomatiques.

La vulnérabilité a été signalée à Microsoft et corrigée le 12 octobre 2021, dans le cadre de l’October Patch Tuesday.

Les produits Kaspersky détectent et protègent contre l’exploitation de la vulnérabilité mentionnée ci-dessus et les modules malveillants associés.

« Au cours des dernières années, nous avons observé une tendance constante de la part des attaquants qui tentent de trouver des exploits Zero-Day. Ces vulnérabilités, jusqu’alors inconnues des éditeurs, peuvent constituer une menace sérieuse pour les organisations. Cependant, la plupart d’entre elles partagent des caractéristiques similaires. C’est pourquoi il est important de s’appuyer sur les dernières informations sur les menaces et d’installer des solutions de sécurité qui détectent de manière proactive les menaces inconnues » commente Boris Larin, security expert, Kaspersky Global Research and Analysis Team (GReAT).

Apprenez-en plus sur cette faille Zero-Day sur Securelist.

Pour protéger votre organisation contre les attaques exploitant les vulnérabilités susmentionnées, les experts de Kaspersky recommandent :

  • Mettez à jour le système d’exploitation Microsoft Windows et les autres logiciels tiers dès que possible et faites-le régulièrement.
  • Utilisez une solution de sécurité des endpoints fiable qui permet de prévenir les exploits, de détecter les comportements et dispose d’un moteur de remédiation capable d’annuler les actions malveillantes.
  • Installez des solutions anti-APT et EDR, permettant de découvrir et de détecter les menaces, d’enquêter et de remédier rapidement aux incidents. Fournissez à votre équipe SOC un accès aux dernières informations sur les menaces et formez-la régulièrement.
  • En plus d’une protection appropriée des endpoints, des services dédiés peuvent vous aider à lutter contre les attaques de grande envergure.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.