Windows: une faille zero-day récemment patchée est exploitée depuis mi-2020

0

Microsoft affirme qu’une vulnérabilité zero-day de Windows corrigée lors du Patch Tuesday de Février 2021 a été exploitée par les hackers depuis au moins l’été 2020 selon ses données de télémétrie.

La faille zero-day activement exploitée est identifiée comme «CVE-2021-1732 – Vulnérabilité d’élévation de privilèges de Windows Win32k».

Cette faille permet aux attaquants locaux d’élever leurs privilèges au niveau administrateur en déclenchant une condition use-after-free dans le composant noyau win32k.sys.

CVE-2021-1732 peut être exploité par des attaquants disposant de privilèges d’utilisateur de base dans des attaques de faible complexité qui ne nécessitent pas d’interaction de l’utilisateur.

Heureusement, les pirates informatiques doivent disposer de privilèges d’exécution de code pour une exploitation réussie. Cependant, cela peut être facilement réalisé en incitant la cible à ouvrir des pièces jointes malveillantes envoyées via des e-mails d’hameçonnage.

Microsoft n’a pas encore confirmé qu’il s’agissait de l’un des vecteurs d’attaque utilisés par les pirates informatiques.

Exploité dans la nature depuis mi-2020

La vulnérabilité a été découverte et signalée au Microsoft Security Response Center le 29 décembre par des chercheurs de DBAPPSecurity.

Selon leur rapport, la faille zero-day était activement utilisée dans des attaques ciblées par un groupe de menace persistante avancée (APT) identifié comme Bitter (par Forcepoint) et T-APT-17 (par Tencent).

Bitter est connu pour ses campagnes de vol d’informations et d’espionnage ciblant la Chine, le Pakistan et l’Arabie saoudite depuis au moins 2013 [1, 2, 3, 4].

windows

Comme ils l’ont observé, les pirates utilisaient un exploit de CVE-2021-1732 ciblant spécifiquement les systèmes Windows 10 1909, même si la faille zero-day affecte même plusieurs versions récentes de Windows 10 et Windows Server.

L’exploit utilisé dans les attaques ciblées de Bitter a été partagé le 11 décembre sur la plate-forme publique de recherche sur les logiciels malveillants VirusTotal, mais les pirates informatiques ont commencé à exploiter la faille zero-day à la mi-2020 selon Microsoft après l’analyse des données de télémétrie.

Les conclusions du géant américain sont renforcées par les recherches de DBAPPSecurity indiquant que l’échantillon dans la nature qu’ils ont trouvé en décembre avait une date de compilation datant de Mai 2020.

Cette vulnérabilité de Windows est encore exploitée activement

À partir de Février 2021, les pirates informatiques n’ont utilisé que des exploits CVE-2021-1732 dans un petit nombre d’attaques ciblant des appareils du Moyen-Orient.

En se basant sur cela, les attaquants ont exploité la faille zero-day sans être détecté pendant plusieurs mois, ont continué à en abuser lors d’attaques pendant plusieurs semaines jusqu’à ce que le bogue soit corrigé par Microsoft, et l’utilisent toujours dans des attaques ciblées.

Lors de ces attaques, les individus malveillants utilisent également des techniques conçues pour les aider à échapper à la détection des logiciels de sécurité pour exploiter la vulnérabilité sur des appareils non corrigés, dans des conditions spécifiques.

Microsoft a publié ces informations dans un avis de sécurité privé partagé plus tôt ce mois-ci avec les abonnés de Microsoft Defender pour Endpoint (anciennement Microsoft Defender ATP).

En Novembre 2020, Microsoft a corrigé une autre élévation de privilèges trouvée dans le pilote de cryptographie du noyau Windows découverte et divulguée publiquement par l’équipe de recherche de bogues 0day de Google Project Zero un mois plus tôt.

Avant d’être corrigé par Redmond, ce zero-day était également activement utilisé par les groupes de cybercriminels dans des attaques ciblées.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire