{"id":15437,"date":"2020-08-12T10:21:10","date_gmt":"2020-08-12T10:21:10","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=15437"},"modified":"2020-08-13T08:05:15","modified_gmt":"2020-08-13T08:05:15","slug":"cve-2020-1380-vulnerability","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/cve-2020-1380-vulnerability\/15437\/","title":{"rendered":"Operation PowerFall : deux vuln\u00e9rabilit\u00e9s zero-day"},"content":{"rendered":"

Nos technologies ont r\u00e9cemment d\u00e9tenu une attaque qui visait une entreprise sud-cor\u00e9enne. Vous pensez s\u00fbrement que pour nous c\u2019est une journ\u00e9e comme une autre, mais lorsque nos experts ont analys\u00e9 les outils des cybercriminels, ils ont d\u00e9couvert deux vuln\u00e9rabilit\u00e9s zero-day<\/em>. La premi\u00e8re se trouvait dans le moteur JavaScript de Internet Explorer 11. Elle permettait aux pirates informatiques d\u2019ex\u00e9cuter un code arbitraire \u00e0 distance. La seconde a \u00e9t\u00e9 d\u00e9tect\u00e9e dans le service du syst\u00e8me d\u2019exploitation et permettait d\u2019\u00e9lever les privil\u00e8ges et de r\u00e9aliser des actions non autoris\u00e9es.<\/p>\n

Les exploits de ces vuln\u00e9rabilit\u00e9s fonctionnaient de pair. Tout d\u2019abord, la victime recevait discr\u00e8tement un script malveillant qu\u2019un trou dans Internet Explorer 11 permettait d\u2019ex\u00e9cuter. Ensuite, une faille dans le service syst\u00e8me \u00e9levait les privil\u00e8ges du processus malveillant. Suite \u00e0 ces actions, les cybercriminels pouvaient enfin prendre le contr\u00f4le du syst\u00e8me. Leur objectif \u00e9tait de compromettre les ordinateurs de plusieurs employ\u00e9s et de p\u00e9n\u00e9trer dans le r\u00e9seau interne de l\u2019entreprise.<\/p>\n

Nos experts ont surnomm\u00e9 cette campagne malveillante \u00ab\u00a0Operation PowerFall\u00a0\u00bb. Actuellement, les chercheurs n\u2019ont trouv\u00e9 aucun lien indiscutable entre cette campagne et les acteurs connus. Pourtant, \u00e0 en juger par la ressemblance des exploits, ils n\u2019excluent pas que DarkHotel<\/a> puisse \u00eatre impliqu\u00e9.<\/p>\n

Lorsque nos chercheurs ont fait part de leurs d\u00e9couvertes \u00e0 Microsoft, l\u2019entreprise a r\u00e9pondu qu\u2019elle connaissait d\u00e9j\u00e0 cette seconde vuln\u00e9rabilit\u00e9 (celle du service syst\u00e8me) et qu\u2019elle poss\u00e9dait un correctif. Microsoft consid\u00e9rait qu\u2019il \u00e9tait peu probable que cette faille soit exploit\u00e9e et ce n\u2019est qu\u2019apr\u00e8s que nous lui ayons parl\u00e9 de la premi\u00e8re vuln\u00e9rabilit\u00e9 (IE11) que l\u2019entreprise a chang\u00e9 d\u2019avis.<\/p>\n

\"\"<\/p>\n

Pourquoi la vuln\u00e9rabilit\u00e9 CVE-2020-1380 est-elle dangereuse ?<\/h2>\n

La premi\u00e8re vuln\u00e9rabilit\u00e9 se trouve dans la biblioth\u00e8que jscript9.dll que toutes les versions Internet Explorer utilisent par d\u00e9faut depuis IE9. En d\u2019autres termes, l\u2019exploitation de cette vuln\u00e9rabilit\u00e9 menace toutes les versions modernes du navigateur. \u00ab\u00a0Moderne\u00a0\u00bb n\u2019est peut-\u00eatre pas le mot le plus ad\u00e9quat puisque Microsoft a arr\u00eat\u00e9 de d\u00e9velopper Internet Explorer apr\u00e8s le lancement de Edge avec Windows 10. Pourtant, tout comme Edge, Internet Explorer est encore install\u00e9 par d\u00e9faut dans les derni\u00e8res versions de Windows et ce navigateur reste un composant important du syst\u00e8me d\u2019exploitation.<\/p>\n

M\u00eame si vous n\u2019utilisez pas Internet Explorer de bon c\u0153ur et que ce n\u2019est pas votre navigateur par d\u00e9faut, cela ne signifie pas pour autant qu\u2019un exploit de IE ne peut pas \u00eatre utilis\u00e9 pour infecter votre syst\u00e8me d\u2019exploitation. De plus, certaines applications s\u2019en servent parfois. Prenons l\u2019exemple de Microsoft Office\u00a0: le programme se sert de IE pour afficher les vid\u00e9os des documents. Les cybercriminels peuvent aussi appeler et exploiter Internet Explorer en utilisant d\u2019autres vuln\u00e9rabilit\u00e9s.<\/p>\n

CVE-2020-1380 appartient au groupe Use-After-Free<\/a>. La vuln\u00e9rabilit\u00e9 exploite l\u2019utilisation incorrecte de la m\u00e9moire dynamique. Vous trouverez la description technique et d\u00e9taill\u00e9e de l\u2019exploit ainsi que les indicateurs de compromission dans l\u2019article publi\u00e9 sur le site Internet de Securelist : \u00ab\u00a0Internet Explorer 11 and Windows 0-day exploits full chain used in Operation PowerFall\u00a0\u00bb<\/a>.<\/p>\n

Comment vous prot\u00e9ger<\/h2>\n

Microsoft a publi\u00e9 le correctif de la vuln\u00e9rabilit\u00e9 CVE-2020-0986<\/a> (dans le noyau Windows) le 9 juin 2020. La seconde vuln\u00e9rabilit\u00e9, CVE-2020-1380<\/a>, a \u00e9t\u00e9 corrig\u00e9e le 11 ao\u00fbt. Si vous mettez r\u00e9guli\u00e8rement \u00e0 jour votre syst\u00e8me d\u2019exploitation alors vous devriez \u00eatre prot\u00e9g\u00e9 contre les attaques Operation PowerFall.<\/p>\n

N\u00e9anmoins, de nouvelles vuln\u00e9rabilit\u00e9s zero-day<\/em> apparaissent tout le temps. Vous devez utiliser une solution \u00e9quip\u00e9e de technologies anti-exploit, comme Kaspersky Security for Business<\/a>, pour prot\u00e9ger votre entreprise. Un de ses composants, le sous-syst\u00e8me de pr\u00e9vention des exploits, identifie les tentatives d\u2019exploitation des vuln\u00e9rabilit\u00e9s zero-day<\/em>.<\/p>\n

De plus, nous vous recommandons d\u2019utiliser des navigateurs modernes qui re\u00e7oivent r\u00e9guli\u00e8rement des mises \u00e0 jour de s\u00e9curit\u00e9.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Nos technologies ont emp\u00each\u00e9 une attaque. L\u2019analyse effectu\u00e9e par nos experts a r\u00e9v\u00e9l\u00e9 l\u2019exploitation de deux vuln\u00e9rabilit\u00e9s jusqu\u2019alors inconnues. Voici ce qu\u2019il faut en retenir.<\/p>\n","protected":false},"author":2581,"featured_media":15439,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,3151],"tags":[498,322],"class_list":{"0":"post-15437","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-apt","11":"tag-vulnerabilites"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cve-2020-1380-vulnerability\/15437\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/cve-2020-1380-vulnerability\/21674\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/cve-2020-1380-vulnerability\/17137\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/cve-2020-1380-vulnerability\/23004\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/cve-2020-1380-vulnerability\/21195\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cve-2020-1380-vulnerability\/19890\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cve-2020-1380-vulnerability\/23630\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cve-2020-1380-vulnerability\/22527\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cve-2020-1380-vulnerability\/28892\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/cve-2020-1380-vulnerability\/8697\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cve-2020-1380-vulnerability\/36698\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cve-2020-1380-vulnerability\/15897\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/cve-2020-1380-vulnerability\/13846\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cve-2020-1380-vulnerability\/24867\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/cve-2020-1380-vulnerability\/11794\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/cve-2020-1380-vulnerability\/28981\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/cve-2020-1380-vulnerability\/25845\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/cve-2020-1380-vulnerability\/22717\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/cve-2020-1380-vulnerability\/27964\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/cve-2020-1380-vulnerability\/27794\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/vulnerabilites\/","name":"Vuln\u00e9rabilit\u00e9s"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/15437","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=15437"}],"version-history":[{"count":10,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/15437\/revisions"}],"predecessor-version":[{"id":15449,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/15437\/revisions\/15449"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/15439"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=15437"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=15437"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=15437"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}