Windows 10 ciblé par les pirates de PuzzleMaker utilisant les zero-days de Chrome

0

Les chercheurs en sécurité de Kaspersky ont découvert un nouvel acteur de menaces surnommé PuzzleMaker, qui a utilisé une chaîne d’exploits zero-day de Google Chrome et Windows 10 dans des attaques très ciblées contre plusieurs entreprises dans le monde.

Selon Kaspersky, les attaques coordonnées par PuzzleMaker ont été repérées pour la première fois à la mi-avril lorsque les réseaux des premières victimes ont été compromis.

La chaîne d’exploitation zero-day déployée dans la campagne a utilisé une vulnérabilité d’exécution de code à distance dans le moteur JavaScript V8 de Google Chrome pour accéder aux systèmes ciblés.

google chrome

Ensuite, les pirates informatiques de PuzzleMaker ont utilisé un exploit d’élévation de privilèges sur mesure pour compromettre les dernières versions de Windows 10 en abusant d’une vulnérabilité de divulgation d’informations dans le noyau Windows (CVE-2021-31955) et d’un bogue d’élévation des privilèges Windows NTFS (CVE-2021-31956), tous deux corrigés lors du Patch Tuesday de Juin.

Malware déployé avec des privilèges systèmes

Les attaquants ont abusé de Windows Notification Facility (WNF) ainsi que de la vulnérabilité CVE-2021-31956 pour exécuter des modules de logiciels malveillants avec des privilèges système sur des systèmes Windows 10 compromis.

« Une fois que les attaquants ont utilisé à la fois les exploits Chrome et Windows pour prendre pied dans le système ciblé, le module de mise en scène télécharge et exécute un dropper de malware plus complexe à partir d’un serveur distant », ont déclaré les chercheurs.

puzzlemaker

« Ce dropper installe ensuite deux exécutables, qui prétendent être des fichiers légitimes appartenant au système d’exploitation Microsoft Windows.

« Le deuxième de ces deux exécutables est un module shell distant, capable de télécharger et d’envoyer des fichiers, de créer des processus, de dormir pendant certaines périodes et de se supprimer du système infecté. »

Chrome et Windows à gogo

Ce n’est pas la première chaîne d’exploits zero-day de Chrome utilisée à l’état sauvage ces derniers mois.

Project Zero, l’équipe de chasse aux bogues zero-day de Google, a dévoilé une opération à grande échelle dans laquelle un groupe de pirates informatiques a utilisé 11 zero-days pour attaquer les utilisateurs de Windows, iOS et Android en une seule année.

Les attaques ont eu lieu lors de deux campagnes distinctes, en Février et Octobre 2020, avec au moins une douzaine de sites Web hébergeant deux serveurs d’exploit, chacun ciblant les utilisateurs iOS et Windows ou Android.

google chrome

Les chercheurs de Project Zero ont collecté une mine d’informations sur les serveurs d’exploits utilisés dans les deux campagnes, notamment :

  • exploits du moteur de rendu pour quatre bogues dans Chrome, dont l’un était encore un zero-day au moment de la découverte
  • deux exploits d’évasion de bac à sable abusant de trois vulnérabilités zero-day dans Windows
  • un « kit d’éléation de privilèges » composé d’exploits n-day connus du public pour les anciennes versions d’Android
  • une chaîne d’exploitation complète ciblant Windows 10 entièrement corrigé à l’aide de Google Chrome
  • deux chaînes partielles ciblant 2 appareils Android différents entièrement corrigés exécutant Android 10 à l’aide de Google Chrome et du navigateur Samsung
  • plusieurs exploits d’exécution de code à distance pour iOS 11 à 13 et un exploit d’élévation de privilèges pour iOS 13 (avec les bugs exploités présents jusqu’à iOS 14.1)

« Dans l’ensemble, ces derniers temps, nous avons assisté à plusieurs vagues d’activités de menaces très médiatisées entraînées par des exploits zero-day », a ajouté Boris Larin, chercheur principal en sécurité au sein de l’équipe mondiale de recherche et d’analyse (GReAT).

« C’est un rappel que les zero-days continue d’être la méthode la plus efficace pour infecter les cibles. »

Les indicateurs de compromission, y compris les hachages d’échantillons de logiciels malveillants, se trouvent à la fin du rapport de Kaspersky.

Laisser un commentaire