Microsoft ne corrige pas une faille de sécurité vieille de 8 ans et exploitée à des fins d'espionnage, un élément important du schéma d'attaque de la Corée du Nord, de la Russie et de la ChineLes chercheurs en cybersécurité de Trend Micro ont découvert dans Windows une vulnérabilité zero-day qui permet aux acteurs de la menace d'exécuter des commandes malveillantes cachées sur l'ordinateur d'une victime en exploitant des fichiers Windows Shortcut ou Shell Link (.LNK) élaborés. Cette faille non corrigée aurait été utilisée par des groupes APT parrainés par des États-nations (Chine, Iran, Corée du Nord, Russie, etc.) dans le cadre de campagnes de cybercriminalité, de vol de données et d'espionnage à motivation financière. Mais il n'y a aucun signe de correction de la part de Microsoft, qui considère apparemment qu'il ne s'agit pas d'une priorité.
La faille de sécurité en question a été répertoriée par l'équipe Zero Day Initiative (ZDI) de Trend Micro sous le nom de « ZDI-CAN-25373 ». Une piste d'exploitation trouvée par Trend Micro dans Windows a été utilisée dans une campagne d'espionnage qui dure depuis 8 ans. À en croire les chercheurs en cybersécurité de Trend Micro, la vulnérabilité aurait été massivement exploitée au cours de cette période et les dommages causés pourraient être très importants.
Trend Micro a également déclaré que la plupart des victimes qu'il a échantillonnées se trouvaient en Amérique du Nord et que sur les onze acteurs de la menace parrainés par des États-nations qu'il a trouvés en train d'exploiter la faille, près de la moitié d'entre eux étaient originaires de Corée du Nord.
Nombre d'échantillons provenant de groupes APT exploitant ZDI-CAN-25373
Selon Trend Micro, l'exploitation de ZDI-CAN-25373 expose les entreprises à des risques importants de vol de données et de cyberespionnage. « On a l'impression que quelqu'un chez Microsoft s'est penché sur la question et a décidé que "ce problème n'était pas techniquement de mon ressort" », note un critique.
Comment les acteurs de la menace exploitent la vulnérabilité ZDI-CAN-25373
Selon Trend Micro, la méthode d'attaque est peu technique, mais efficace : elle repose sur des fichiers de raccourci .LNK malveillants contenant des commandes de téléchargement de logiciels malveillants. Tout en semblant pointer vers des fichiers ou des exécutables légitimes, ces raccourcis incluent discrètement des instructions supplémentaires pour récupérer (télécharger) ou décompresser et tenter d'exécuter des charges utiles malveillantes.
Normalement, la cible du raccourci et les arguments de la ligne de commande sont clairement visibles dans Windows, ce qui permet de repérer facilement les commandes suspectes. Toutefois, l'équipe Zero Day Initiative a déclaré avoir observé des acteurs soutenus par la Corée du Nord qui remplissaient les arguments de la ligne de commande avec des mégaoctets d'espaces blancs, enterrant les commandes réelles loin de la vue dans l'interface utilisateur.
Pays des groupes APT parrainés par un État qui exploitent ZDI-CAN-25373
Trend Micro a signalé cette pratique à Microsoft en septembre de l'année dernière et estime que la vulnérabilité est utilisée depuis au moins 2017. L'entreprise a déclaré avoir trouvé près de 1 000 fichiers .LNK altérés en circulation, mais estime que le nombre réel d'attaques pourrait être plus élevé.
« C'est l'un des nombreux bogues utilisés par les attaquants, mais celui-ci n'est pas corrigé. et c'est pourquoi nous l'avons signalé comme une vulnérabilité zero-day », a déclaré Dustin Childs, responsable de la sensibilisation aux menaces de l'équipe Zero Day Initiative de Trend Micro, à The Register.
Il a ajouté : « nous l'avons dit à Microsoft, mais ils considèrent qu'il s'agit d'un problème d'interface utilisateur et non d'un problème de sécurité. Il ne répond donc pas à leur critère de mise à jour de sécurité, mais il pourrait être corrigé dans une version ultérieure de Windows, ou quelque chose de ce genre ».
Les chiffres liés à l'exploitation de ZDI-CAN-25373 partagés par Trend Micro
Après l'examen des fichiers .LNK malveillants, l'équipe a constaté que la grande majorité de ces fichiers provenaient d'attaquants parrainés par un État (environ 70 %) et étaient utilisés à des fins d'espionnage ou de vol d'informations, tandis que 20 % d'entre eux étaient destinés à des gains financiers. Trend Micro a publié sur son site Web un billet de blogue détaillé sur le mode de fonctionnement des acteurs de la menace et de leur provenance.
Motivation des groupes APT
Parmi les équipes parrainées par des États, 46 % des attaques provenaient de Corée du Nord, tandis que la Russie, l'Iran et la Chine représentaient chacun environ 18 % de l'activité. Et sans surprise, les cibles gouvernementales ont été les plus populaires, suivies du secteur privé, puis des institutions financières, des groupes de réflexion et des entreprises de télécommunications. Viennent ensuite les cibles militaires et les infrastructures énergétiques.
Trend Micro a déclaré qu'il a décidé de rendre le problème public après que Microsoft a refusé de considérer le vecteur d'attaque comme un risque de sécurité. « Le fait de cliquer sur un fichier .LNK malveillant entraîne l'exécution d'un code malveillant sur le système local », ont souligné les experts de Trend Micro. Associé à une faille d'escalade des privilèges - qui ne manquent pas - tout un système peut être compromis relativement facilement.
Envoyé par Dustin Childs, de Trend Micro
Nous considérons qu'il s'agit d'un problème de sécurité. Encore une fois, il ne s'agit pas d'un problème de sécurité critique, mais il vaut certainement la peine d'y remédier par le biais d'une mise à jour de sécurité. Je pense qu'une partie de la raison est que la correction technique peut être incroyablement difficile, et qu'elle peut aller au-delà de ce qui peut être fait dans une mise à jour de sécurité. C'est donc peut-être une partie de leur raisonnement qui explique pourquoi ils repoussent avec tant de véhémence la mise en place d'un correctif.
Secteurs ciblés dans l'exploitation de ZDI-CAN-25373
Selon le porte-parole de la firme de Redmon, Microsoft Defender a mis en place des mécanismes de détections pour détecter et bloquer cette activité menaçante, et le Smart App Control fournit « une couche supplémentaire de protection en bloquant les fichiers malveillants provenant d'Internet ».
Il a ajouté : « nous encourageons les clients à faire preuve de prudence lorsqu'ils téléchargent des fichiers de sources inconnues, comme l'indiquent les avertissements de sécurité, qui ont été conçus pour reconnaître et avertir les utilisateurs de la présence de fichiers potentiellement dangereux ».
Source : Trend Micro
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous de cette vulnérabilité de Windows décrite par les chercheurs en cybersécurité de Trend Micro ? Microsoft affirme qu'il s'agit d'un problème d'interface utilisateur et non d'une faille de sécurité. Qu'en pensez-vous ?Voir aussi
La panne de CrowdStrike incite les entreprises à revoir leurs chaînes d'approvisionnement, avec une perte de confiance dans les approches à fournisseur unique, seules 16 % d'entre elles se disent satisfaites Huawei s'apprête à abandonner Windows et à passer à HarmonyOS et Linux pour ses futurs PC, dans un contexte global de recherche d'alternatives à Windows qui accumule des plaintes des utilisateurs La réutilisation des mots de passe est endémique : près de la moitié des connexions d'utilisateurs observées sont compromises à cause de mots de passe réutilisés sur plusieurs comptes
Vous avez lu gratuitement 1 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
