Une vulnérabilité zero-day dans Microsoft Windows exploitée dans les attaques du ransomware Nokoyawa
En février, les experts de Kaspersky ont découvert une attaque exploitant une vulnérabilité zero-day dans le Common Log File System (CLFS) de Microsoft. Un groupe de cybercriminels a utilisé un exploit développé pour s’adapter à différentes versions du système d'exploitation Windows, y compris Windows 11, et a tenté de déployer le ransomware Nokoyawa par ce biais. Microsoft a attribué la CVE-2023-28252 à cette vulnérabilité et l'a corrigée hier dans le cadre du Patch Tuesday. L'acteur de la menace a également tenté d'exécuter des exploits similaires d'élévation de privilèges dans des attaques contre de petites et moyennes entreprises au Moyen-Orient, en Amérique du Nord, et précédemment en Asie.
Alors que la plupart des vulnérabilités découvertes par Kaspersky sont exploitées par des groupe APT, celle-ci s'est avérée l’être à des fins cybercriminelles par un groupe sophistiqué menant des attaques par ransomware. Ce groupe se distingue par l'utilisation d'exploits similaires mais uniques du Common Log File System (CLFS) - Kaspersky en a relevé au moins cinq. Ils ont été utilisés dans des attaques ciblant le secteur du commerce de détail et de gros, de l'énergie, de l'industrie manufacturière, des soins de santé, et du développement de logiciels, entre autres secteurs.
Microsoft a attribué CVE-2023-28252 au zero-day récemment découvert. Il s'agit d’une vulnérabilité d'élévation de privilèges du Common Log File System, qui est déclenchée par la manipulation du format de fichier utilisé par ce système. Les chercheurs de Kaspersky ont découvert cette vulnérabilité en février en procédant à des vérifications supplémentaires sur un certain nombre de tentatives d'exécution d'exploits similaires d'élévation de privilèges sur des serveurs Microsoft Windows appartenant à différentes PME localisées au Moyen-Orient et en Amérique du Nord.
CVE-2023-28252 a été repéré pour la première fois par Kaspersky lors d'une attaque au cours de laquelle des cybercriminels ont tenté de déployer une nouvelle version du ransomware Nokoyawa. Les anciennes variantes de ce ransomware n'étaient que des variantes revisitées du ransomware JSWorm, mais dans l'attaque citée ici, la variante Nokoyawa est très différente de JSWorm en termes de code base.
L'exploit utilisé dans l'attaque a été développé pour prendre en charge différentes versions du système d'exploitation Windows, y compris Windows 11. Les attaquants ont utilisé la vulnérabilité CVE-2023-28252 pour élever les privilèges et voler des informations d'identification dans la base de données SAM (Security Account Manager).
« Les groupes de cybercriminels perfectionnent leurs attaques en utilisant des exploits zero-day dans leurs attaques. Auparavant, il s'agissait principalement d'un outil des acteurs des menaces persistantes avancées (APT), mais aujourd'hui les cybercriminels ont les ressources nécessaires pour avoir accès aux zero-day et les utiliser régulièrement dans leurs attaques. Des développeurs d'exploits sont également prêts à participer à l’effort en mettant au point un exploit après l'autre. Il est très important que les entreprises téléchargent le dernier correctif de Microsoft dès que possible et utilisent d'autres méthodes de protection, telles que les solutions EDR », a déclaré Boris Larin, chercheur principal en sécurité au sein de l'équipe Global Research & Analysis Team (GReAT).
Les produits Kaspersky détectent les vulnérabilités et protègent contre leur exploitation et des logiciels malveillants associés.
Pour en savoir plus sur ce nouveau zero-day, consultez Securelist. Des informations supplémentaires seront communiquées neuf jours après le Patch Tuesday d'avril (11/04), afin que les entreprises aient le temps de corriger leurs systèmes.
Pour protéger votre organisation contre les attaques qui exploitent la vulnérabilité décrite ici, les experts de Kaspersky font les recommandations suivantes :
● Mettez à jour votre système Microsoft Windows dès que possible et faites-le régulièrement.
● Utilisez une solution de sécurité fiable pour les points d'accès, telle que Kaspersky Endpoint Security for Business, qui est dotée de fonctions de prévention des exploits, de détection des comportements et d'un moteur de remédiation capable d'annuler les actions malveillantes.
● Installer des solutions anti-APT et EDR, permettant la découverte et la détection des menaces, l'investigation et la remédiation rapide des incidents. Donnez à votre équipe SOC l'accès aux dernières informations sur les menaces et formez-la régulièrement en ayant recours à une formation professionnelle. Tous ces éléments sont disponibles dans le cadre de Kaspersky Expert Security.
● En plus d'une bonne protection des terminaux, le recours aux services dédiés peut aider à lutter contre les attaques les plus médiatisées. Le service Kaspersky Managed Detection and Response permet d'identifier et d'arrêter les attaques à un stade précoce, avant que les attaquants n'atteignent leurs objectifs.
A propos de Kaspersky
Kaspersky est une société internationale de cybersécurité et de protection de la vie privée numérique fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient constamment enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les autorités publiques et les particuliers à travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky comprend la protection avancée des terminaux ainsi que des solutions et services de sécurité dédiés afin de lutter contre les menaces digitales sophistiquées et en constante évolution. Les technologies de Kaspersky aident plus de 400 millions d’utilisateurs et 240 000 entreprises à protéger ce qui compte le plus pour eux.
Une vulnérabilité zero-day dans Microsoft Windows exploitée dans les attaques du ransomware Nokoyawa
Kaspersky
Articles connexes Communiqués de presse
Selon Kaspersky, la moitié des appareils pris pour cible par des infostealers sont infectés par le logiciel malveillant Redline
D’après Kaspersky Digital Footprint Intelligence, plus de la moitié des appareils visés par des attaques de vol de mots de passe en 2023, l’ont été par le logiciel malveillant Redline (55 %). Bien que le marché des logiciels malveillants continue de croître avec de nouveaux acteurs tels que Lumma, sur les trois dernières années, Redline reste le logiciel malveillant de vols de données le plus utilisé par les cybercriminels.Lire la suite >53 % des appareils infectés par des logiciels malveillants voleurs de données sont des appareils d'entreprise, selon Kaspersky
Selon l’équipe Digital Footprint Intelligence de Kaspersky, la proportion d'appareils d'entreprise infectés par des infostealers a augmenté d'un tiers depuis 2020. 21 % des employés dont les appareils ont été infectés ont exécuté le logiciel malveillant à plusieurs reprises. En réponse à la menace croissante que représentent les info-stealers en entreprise, les experts de Kaspersky sensibilisent au phénomène et proposent des stratégies pour atténuer les risques associés.Lire la suite >Les entreprises investissent plus de 100.000 $ par an pour renforcer les compétences de leurs équipes de cybersécurité
Dans sa dernière étude, Kaspersky révèle que plus de 70 % des entreprises consacrent plus de 100 000 $ (environ 92 000 €) par an pour des formations supplémentaires destinées à leurs spécialistes en cybersécurité afin de maintenir leurs compétences à jour. Cependant, les entreprises interrogées soulignent également un manque de cours pertinents concernant les tendances cyber émergentes : le marché de la formation n’est actuellement pas suffisamment fourni, et les formations choisies n’apportent pas toujours le résultat escompté.Lire la suite >