Microsoft ne corrige pas une faille de sécurité vieille de 8 ans et exploitée à des fins d'espionnage
Microsoft ne corrige pas une faille de sécurité vieille de 8 ans et exploitée à des fins d'espionnage, un élément important du schéma d'attaque de la Corée du Nord, de la Russie et de la Chine
Les chercheurs en cybersécurité de Trend Micro ont découvert dans Windows une vulnérabilité zero-day qui permet aux acteurs de la menace d'exécuter des commandes malveillantes cachées sur l'ordinateur d'une victime en exploitant des fichiers Windows Shortcut ou Shell Link (.LNK) élaborés. Cette faille non corrigée aurait été utilisée par des groupes APT parrainés par des États-nations (Chine, Iran, Corée du Nord, Russie, etc.) dans le cadre de campagnes de cybercriminalité, de vol de données et d'espionnage à motivation financière. Mais il n'y a aucun signe de correction de la part de Microsoft, qui considère apparemment qu'il ne s'agit pas d'une priorité.
La faille de sécurité en question a été répertoriée par l'équipe Zero Day Initiative (ZDI) de Trend Micro sous le nom de « ZDI-CAN-25373 ». Une piste d'exploitation trouvée par Trend Micro dans Windows a été utilisée dans une campagne d'espionnage qui dure depuis 8 ans. À en croire les chercheurs en cybersécurité de Trend Micro, la vulnérabilité aurait été massivement exploitée au cours de cette période et les dommages causés pourraient être très importants.
Trend Micro a également déclaré que la plupart des victimes qu'il a échantillonnées se trouvaient en Amérique du Nord et que sur les onze acteurs de la menace parrainés par des États-nations qu'il a trouvés en train d'exploiter la faille, près de la moitié d'entre eux étaient originaires de Corée du Nord.
Nombre d'échantillons provenant de groupes APT exploitant ZDI-CAN-25373
Selon Trend Micro, l'exploitation de ZDI-CAN-25373 expose les entreprises à des risques importants de vol de données et de cyberespionnage. « On a l'impression que quelqu'un chez Microsoft s'est penché sur la question et a décidé que "ce problème n'était pas techniquement de mon ressort" », note un critique.
Comment les acteurs de la menace exploitent la vulnérabilité ZDI-CAN-25373
Selon Trend Micro, la méthode d'attaque est peu technique, mais efficace : elle repose sur des fichiers de raccourci .LNK malveillants contenant des commandes de téléchargement de logiciels malveillants. Tout en semblant pointer vers des fichiers ou des exécutables légitimes, ces raccourcis incluent discrètement des instructions supplémentaires pour récupérer (télécharger) ou décompresser et tenter d'exécuter des charges utiles malveillantes.
Normalement, la cible du raccourci et les arguments de la ligne de commande sont clairement visibles dans Windows, ce qui permet de repérer facilement les commandes suspectes. Toutefois, l'équipe Zero Day Initiative a déclaré avoir observé des acteurs soutenus par la Corée du Nord qui remplissaient les arguments de la ligne de commande avec des mégaoctets d'espaces blancs, enterrant les commandes réelles loin de la vue dans l'interface utilisateur.
Pays des groupes APT parrainés par un État qui exploitent ZDI-CAN-25373
Trend Micro a signalé cette pratique à Microsoft en septembre de l'année dernière et estime que la vulnérabilité est utilisée depuis au moins 2017. L'entreprise a déclaré avoir trouvé près de 1 000 fichiers .LNK altérés en circulation, mais estime que le nombre réel d'attaques pourrait être plus élevé.
« C'est l'un des nombreux bogues utilisés par les attaquants, mais celui-ci n'est pas corrigé. et c'est pourquoi nous l'avons signalé comme une vulnérabilité zero-day », a déclaré Dustin Childs, responsable de la sensibilisation aux menaces de l'équipe Zero Day Initiative de Trend Micro, à The Register.
Il a ajouté : « nous l'avons dit à Microsoft, mais ils considèrent qu'il s'agit d'un problème d'interface utilisateur et non d'un problème de sécurité. Il ne répond donc pas à leur critère de mise à jour de sécurité, mais il pourrait être corrigé dans une version ultérieure de Windows, ou quelque chose de ce genre ».
Les chiffres liés à l'exploitation de ZDI-CAN-25373 partagés par Trend Micro
Après l'examen des fichiers .LNK malveillants, l'équipe a constaté que la grande majorité de ces fichiers provenaient d'attaquants parrainés par un État (environ 70 %) et étaient utilisés à des fins d'espionnage ou de vol d'informations, tandis que 20 % d'entre eux étaient destinés à des gains financiers. Trend Micro a publié sur son site Web un billet de blogue détaillé sur le mode de fonctionnement des acteurs de la menace et de leur provenance.
Motivation des groupes APT
Parmi les équipes parrainées par des États, 46 % des attaques provenaient de Corée du Nord, tandis que la Russie, l'Iran et la Chine représentaient chacun environ 18 % de l'activité. Et sans surprise, les cibles gouvernementales ont été les plus populaires, suivies du secteur privé, puis des institutions financières, des groupes de réflexion et des entreprises de télécommunications. Viennent ensuite les cibles militaires et les infrastructures énergétiques.
Trend Micro a déclaré qu'il a décidé de rendre le problème public après que Microsoft a refusé de considérer le vecteur d'attaque comme un risque de sécurité. « Le fait de cliquer sur un fichier .LNK malveillant entraîne l'exécution d'un code malveillant sur le système local », ont souligné les experts de Trend Micro. Associé à une faille d'escalade des privilèges - qui ne manquent pas - tout un système peut être compromis relativement facilement.
Un porte-parole de Microsoft a fait écho aux propos de l'équipe Zero Day Initiative concernant l'approche du problème en tant que problème d'interface utilisateur, en déclarant : « bien que l'expérience d'interface utilisateur décrite dans le rapport ne remplisse pas les conditions requises pour une intervention immédiate dans le cadre de nos directives de classification de la gravité, nous envisagerons d'y remédier lors d'une prochaine mise à jour ».Envoyé par Dustin Childs, de Trend Micro
Secteurs ciblés dans l'exploitation de ZDI-CAN-25373
Selon le porte-parole de la firme de Redmon, Microsoft Defender a mis en place des mécanismes de détections pour détecter et bloquer cette activité menaçante, et le Smart App Control fournit « une couche supplémentaire de protection en bloquant les fichiers malveillants provenant d'Internet ».
Il a ajouté : « nous encourageons les clients à faire preuve de prudence lorsqu'ils téléchargent des fichiers de sources inconnues, comme l'indiquent les avertissements de sécurité, qui ont été conçus pour reconnaître et avertir les utilisateurs de la présence de fichiers potentiellement dangereux ».
Source : Trend Micro
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi
Répondre avec citation
Partager