Discussion :

[Sandra Coret]

Les cybercriminels exploitent la faille "zero-day", alors que les entreprises prennent 97 jours en moyenne pour mettre en œuvre les correctifs, selon HP Wolf Security

Les cybercriminels ont exploité le nouveau code d'exécution à distance CVE-2021-40444 de la faille "zero-day", une semaine avant la publication du correctif le 14 septembre, selon le dernier rapport de HP Wolf Security.

Les chercheurs ont également vu des scripts qui automatisaient la création de l'exploit sur Github le 10, ce qui a facilité l'utilisation de l'exploit par des attaquants moins sophistiqués contre des organisations vulnérables.

Cela illustre la tendance des cybercriminels à se déplacer plus rapidement que jamais pour exploiter les zero-days, alors que les entreprises prennent 97 jours en moyenne pour mettre en œuvre les correctifs, créant ainsi une fenêtre de vulnérabilité.

Le dernier rapport Threat Insights révèle l'utilisation de téléchargeurs JavaScript pour échapper aux outils de détection, et la diffusion du cheval de Troie Trickbot via des fichiers HTA (application HTML), qui déploient le malware dès l'ouverture de la pièce jointe ou du fichier achive qui le contient. En tant que type de fichier peu courant, les fichiers HTA malveillants sont moins susceptibles d'être repérés par les outils de détection.

"Le délai moyen d'application, de test et de déploiement complet des correctifs avec les vérifications appropriées est de 97 jours pour une entreprise, ce qui donne aux cybercriminels la possibilité d'exploiter cette "fenêtre de vulnérabilité". Si, au début, seuls des pirates très compétents pouvaient exploiter cette vulnérabilité, les scripts automatisés ont abaissé la barre d'entrée, rendant ce type d'attaque accessible à des acteurs de la menace moins bien informés et disposant de moins de ressources. Cela augmente considérablement le risque pour les entreprises, car les exploits de type "zero-day" sont banalisés et mis à la disposition du marché de masse dans des endroits comme les forums clandestins", explique Alex Holland, analyste principal des logiciels malveillants au sein de l'équipe de recherche sur les menaces de HP Wolf Security. "Ces nouveaux exploits ont tendance à échapper aux outils de détection, car les signatures peuvent être imparfaites et devenir rapidement obsolètes à mesure que la compréhension de la portée d'un exploit évolue. Nous nous attendons à ce que les acteurs de la menace adoptent CVE-2021-40444 dans le cadre de leurs arsenaux, et potentiellement même à ce qu'ils remplacent les exploits courants utilisés pour obtenir un accès initial aux systèmes aujourd'hui, tels que ceux exploitant Equation Editor."

Parmi les autres résultats, 12 % des logiciels malveillants isolés par courrier électronique ont contourné au moins un scanner de passerelle, et 89 % des logiciels malveillants détectés ont été transmis par courrier électronique, tandis que les téléchargements sur le Web représentaient 11 % et d'autres vecteurs tels que les périphériques de stockage amovibles, moins de 1 %.

Les pièces jointes les plus couramment utilisées pour diffuser des logiciels malveillants sont les fichiers d'archives (38 %, contre 17,26 % au trimestre précédent), les documents Word (23 %), les feuilles de calcul (17 %) et les fichiers exécutables (16 %).

Les cinq leurres de phishing les plus courants concernent des transactions commerciales telles que "commande", "paiement", "devis" et "demande". Le rapport révèle que 12 % des logiciels malveillants capturés étaient auparavant inconnus.

Source : HP Wolf Security

Et vous ?

Qu'en pensez-vous ?
Les attaques de type "zero days" sont de plus en plus fréquentes, comment expliquer qu'elles ne sont toujours pas contournées/évitées ?

Voir aussi :

Des cyberattaquants utilisent une vulnérabilité "zero-day" pour effacer en masse les appareils My Book Live, Western Digital a retiré le code qui aurait empêché l'effacement de téraoctets de données

La Chine a cloné et utilisé un exploit zero-day de la NSA pendant des années avant qu'il ne soit rendu public, selon un rapport de la société de sécurité Check Point

[marsupial]

A implémenter dans toutes les distributions GNU/Linux :

#define _GNU_SOURCE
#include <unistd.h>
#include <sys/types.h>
#include <stdio.h>

#define uid_t getuid(process) = &id_t
#define uid_t geteuid(process) = &eid
#define getpid(void) = &pid_t
#define for (((*pid_t(*id_t) && *pid_t(eid) < 0) || (*pid_t(*id_t) && *pid(*eid) >= 0)); getgpid(*pid_t *id_t); &pid_et)

int main(int *id_t, int *eid)
{
#define for ((((*id_t) != (*eid)) || ((*pid_et) != (*pid_t)));printf(("process(%u) ou utilisateur inconnu détecté"); process(*eid)); SIGKILL(*pid_et));
// trace process(eid)
{
return (0);
}
}

Ils tournent avec des warnings mais ça compile et le code n'est pas sécurisé.