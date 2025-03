Microsoft ne corrige pas une faille de sécurité vieille de 8 ans et exploitée à des fins d'espionnage, un élément important du schéma d'attaque de la Corée du Nord, de la Russie et de la Chine





Nombre d'échantillons provenant de groupes APT exploitant ZDI-CAN-25373



Comment les acteurs de la menace exploitent la vulnérabilité ZDI-CAN-25373





Pays des groupes APT parrainés par un État qui exploitent ZDI-CAN-25373



Les chiffres liés à l'exploitation de ZDI-CAN-25373 partagés par Trend Micro





Motivation des groupes APT



Envoyé par Dustin Childs, de Trend Micro Envoyé par



Nous considérons qu'il s'agit d'un problème de sécurité. Encore une fois, il ne s'agit pas d'un problème de sécurité critique, mais il vaut certainement la peine d'y remédier par le biais d'une mise à jour de sécurité. Je pense qu'une partie de la raison est que la correction technique peut être incroyablement difficile, et qu'elle peut aller au-delà de ce qui peut être fait dans une mise à jour de sécurité. C'est donc peut-être une partie de leur raisonnement qui explique pourquoi ils repoussent avec tant de véhémence la mise en place d'un correctif.









Secteurs ciblés dans l'exploitation de ZDI-CAN-25373





La faille de sécurité en question a été répertoriée par l'équipe Zero Day Initiative (ZDI) de Trend Micro sous le nom de « ZDI-CAN-25373 ». Une piste d'exploitation trouvée par Trend Micro dans Windows a été utilisée dans une campagne d'espionnage qui dure depuis 8 ans. À en croire les chercheurs en cybersécurité de Trend Micro, la vulnérabilité aurait été massivement exploitée au cours de cette période et les dommages causés pourraient être très importants.Trend Micro a également déclaré que la plupart des victimes qu'il a échantillonnées se trouvaient en Amérique du Nord et que sur les onze acteurs de la menace parrainés par des États-nations qu'il a trouvés en train d'exploiter la faille, près de la moitié d'entre eux étaient originaires de Corée du Nord.Selon Trend Micro, l'exploitation de ZDI-CAN-25373 expose les entreprises à des risques importants de vol de données et de cyberespionnage. « On a l'impression que quelqu'un chez Microsoft s'est penché sur la question et a décidé que "ce problème n'était pas techniquement de mon ressort" », note un critique.Selon Trend Micro, la méthode d'attaque est peu technique, mais efficace : elle repose sur des fichiers de raccourci .LNK malveillants contenant des commandes de téléchargement de logiciels malveillants. Tout en semblant pointer vers des fichiers ou des exécutables légitimes, ces raccourcis incluent discrètement des instructions supplémentaires pour récupérer (télécharger) ou décompresser et tenter d'exécuter des charges utiles malveillantes.Normalement, la cible du raccourci et les arguments de la ligne de commande sont clairement visibles dans Windows, ce qui permet de repérer facilement les commandes suspectes. Toutefois, l'équipe Zero Day Initiative a déclaré avoir observé des acteurs soutenus par la Corée du Nord qui remplissaient les arguments de la ligne de commande avec des mégaoctets d'espaces blancs, enterrant les commandes réelles loin de la vue dans l'interface utilisateur.Trend Micro a signalé cette pratique à Microsoft en septembre de l'année dernière et estime que la vulnérabilité est utilisée depuis au moins 2017. L'entreprise a déclaré avoir trouvé près de 1 000 fichiers .LNK altérés en circulation, mais estime que le nombre réel d'attaques pourrait être plus élevé.« C'est l'un des nombreux bogues utilisés par les attaquants, mais celui-ci n'est pas corrigé. et c'est pourquoi nous l'avons signalé comme une vulnérabilité zero-day », a déclaré Dustin Childs, responsable de la sensibilisation aux menaces de l'équipe Zero Day Initiative de Trend Micro, à The Register.Il a ajouté : « nous l'avons dit à Microsoft, mais ils considèrent qu'il s'agit d'un problème d'interface utilisateur et non d'un problème de sécurité. Il ne répond donc pas à leur critère de mise à jour de sécurité, mais il pourrait être corrigé dans une version ultérieure de Windows, ou quelque chose de ce genre ».Après l'examen des fichiers .LNK malveillants, l'équipe a constaté que la grande majorité de ces fichiers provenaient d'attaquants parrainés par un État (environ 70 %) et étaient utilisés à des fins d'espionnage ou de vol d'informations, tandis que 20 % d'entre eux étaient destinés à des gains financiers. Trend Micro a publié sur son site Web un billet de blogue détaillé sur le mode de fonctionnement des acteurs de la menace et de leur provenance.Parmi les équipes parrainées par des États, 46 % des attaques provenaient de Corée du Nord, tandis que la Russie, l'Iran et la Chine représentaient chacun environ 18 % de l'activité. Et sans surprise, les cibles gouvernementales ont été les plus populaires, suivies du secteur privé, puis des institutions financières, des groupes de réflexion et des entreprises de télécommunications. Viennent ensuite les cibles militaires et les infrastructures énergétiques.Trend Micro a déclaré qu'il a décidé de rendre le problème public après que Microsoft a refusé de considérer le vecteur d'attaque comme un risque de sécurité. « Le fait de cliquer sur un fichier .LNK malveillant entraîne l'exécution d'un code malveillant sur le système local », ont souligné les experts de Trend Micro. Associé à une faille d'escalade des privilèges - qui ne manquent pas - tout un système peut être compromis relativement facilement.Un porte-parole de Microsoft a fait écho aux propos de l'équipe Zero Day Initiative concernant l'approche du problème en tant que problème d'interface utilisateur, en déclarant : « bien que l'expérience d'interface utilisateur décrite dans le rapport ne remplisse pas les conditions requises pour une intervention immédiate dans le cadre de nos directives de classification de la gravité, nous envisagerons d'y remédier lors d'une prochaine mise à jour ».Selon le porte-parole de la firme de Redmon, Microsoft Defender a mis en place des mécanismes de détections pour détecter et bloquer cette activité menaçante, et le Smart App Control fournit « une couche supplémentaire de protection en bloquant les fichiers malveillants provenant d'Internet ».Il a ajouté : « nous encourageons les clients à faire preuve de prudence lorsqu'ils téléchargent des fichiers de sources inconnues, comme l'indiquent les avertissements de sécurité, qui ont été conçus pour reconnaître et avertir les utilisateurs de la présence de fichiers potentiellement dangereux ».Source : Trend Micro Quel est votre avis sur le sujet ?Que pensez-vous de cette vulnérabilité de Windows décrite par les chercheurs en cybersécurité de Trend Micro ?Microsoft affirme qu'il s'agit d'un problème d'interface utilisateur et non d'une faille de sécurité. Qu'en pensez-vous ?