MysterySnail progresse via une vulnérabilité zero-day

Nos technologies de sécurité ont détecté l’exploitation d’une vulnérabilité jusqu’alors inconnue dans le pilote Win32k.

Nos technologies de détection comportementale et de protection contre les exploits ont récemment détecté l’exploitation d’une vulnérabilité dans le pilote de noyau Win32k, ce qui a amené notre équipe à faire une analyse complète de l’opération cybercriminelle à l’origine de l’exploitation. Nous avons signalé la vulnérabilité (CVE-2021-40449) à Windows qui l’a corrigée lors d’une mise à jour régulière le 12 octobre. Ainsi, comme d’habitude après un Patch Tuesday, nous vous conseillons de mettre à jour Microsoft Windows dès que possible.

Utilisation de la vulnérabilité CVE-2021-40449

CVE-2021-40449 est une vulnérabilité de type Use-After-Free dans la fonction NtGdiResetDC du pilote Win32k. Une description technique détaillée est disponible dans l’article que nous avons publié sur Securelist mais, en quelques mots, la vulnérabilité peut provoquer la fuite des adresses du module du noyau dans la mémoire de l’ordinateur. Les cybercriminels peuvent alors se servir de cette fuite pour élever les privilèges d’un autre processus malveillant.

Grâce à l’élévation de privilèges, les escrocs peuvent télécharger et lancer MysterySnail, un cheval de Troie d’accès à distance (RAT) qui leur permet d’accéder au système de la victime.

Fonctionnalités de MysterySnail

Le cheval de Troie commence par récupérer des informations sur le système infecté et les envoie au serveur de commande et contrôle. Puis, grâce à MysterySnail, les cybercriminels peuvent transmettre plusieurs ordres. Par exemple, ils peuvent créer, lire ou supprimer un fichier en particulier ; créer ou supprimer un processus ; obtenir une liste d’annuaire ; ou encore ouvrir un proxy et s’en servir pour envoyer les données.

Les autres fonctions de MysterySnail incluent la possibilité de voir la liste des dispositifs connectés, de surveiller en arrière-plan la connexion des disques durs externes, et de faire bien d’autres choses. Le cheval de Troie peut aussi lancer le shell interactif cmd.exe, en copiant le fichier cmd.exe dans un dossier temporaire avec un nom différent.

Attaques via CVE-2021-40449

L’exploit de cette vulnérabilité couvre toute une série de systèmes d’exploitation de la famille Microsoft Windows : Vista, 7, 8, 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, Windows 10 (version 14393), Server 2016 (version 14393), 10 (version 17763) et Server 2019 (version 17763). Selon nos experts, l’exploit existe précisément pour élever les privilèges sur les versions du serveur de ces systèmes d’exploitation.

Après avoir détecté la menace, nos experts ont établi que l’exploit et le malware MysterySnail, chargé sur le système, ont été largement utilisés dans des opérations d’espionnage d’entreprises informatiques, d’institutions diplomatiques et d’entreprises qui travaillent dans le secteur de la défense.

Grâce à Kaspersky Threat Attribution Engine, nos experts ont pu trouver des ressemblances dans le code et dans les fonctionnalités de MysterySnail et du malware utilisé par le groupe IronHusky. De plus, un groupe APT en chinois a utilisé certaines des adresses du serveur C&C de MysterySnail en 2012.

Pour plus d’informations sur cette attaque, et pour obtenir une description détaillée de l’exploit et les indicateurs de compromission, lisez l’article publié sur Securelist.

Comment vous protéger

Commencez par installer les derniers patchs de Microsoft et évitez les vulnérabilités zero-day en utilisant sur tous les ordinateurs ayant accès à Internet des solutions de sécurité robustes qui détectent les vulnérabilités de façon proactive et les arrêtent. Les technologies de détection comportementale et de protection contre les exploits, comme celles dont dispose Kaspersky Endpoint Security for Business, ont détecté CVE-2021-40449.

Conseils