{"id":16990,"date":"2021-05-26T15:47:35","date_gmt":"2021-05-26T13:47:35","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=16990"},"modified":"2021-05-26T15:47:35","modified_gmt":"2021-05-26T13:47:35","slug":"rsa2021-windows-xp-vulnbins","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/rsa2021-windows-xp-vulnbins\/16990\/","title":{"rendered":"Des exploits de la vieille \u00e9cole dans les syst\u00e8mes modernes"},"content":{"rendered":"

Les attaques de type \u00ab\u00a0Living Off the Land\u00a0\u00bb<\/em><\/a>, qui utilisent des programmes l\u00e9gitimes ou des caract\u00e9ristiques sp\u00e9cifiques aux syst\u00e8mes d\u2019exploitation \u00e0 des fins malveillantes, n\u2019ont rien de nouveau, mais avec les experts qui s\u2019int\u00e9ressent \u00e0 ce nouveau type de programme, les cybercriminels ont d\u00fb innover. Les chercheurs Jean-Ian Boutin et Zuzana Hromcova ont \u00e9voqu\u00e9<\/a> cette innovation ainsi que l\u2019utilisation des programmes l\u00e9gitimes de Windows XP et ses composants lors de la RSA Conference 2021<\/a>.<\/p>\n

La technique \u00ab\u00a0Living Off the Land\u00a0\u00bb et les composants vuln\u00e9rables de Windows XP<\/h2>\n

En analysant l\u2019activit\u00e9 du groupe InvisiMole<\/a>, Boutin et Hromcova ont constat\u00e9 que ce dernier utilise des fichiers de ce syst\u00e8me d\u2019exploitation obsol\u00e8te depuis longtemps, ce qui leur permet de ne pas se faire remarquer. Les chercheurs ont nomm\u00e9 ces fichiers \u00ab\u00a0VULNBins\u00a0\u00bb, un nom semblable \u00e0 LOLBins, que la communaut\u00e9 de s\u00e9curit\u00e9 utilise pour les fichiers des attaques de type \u00ab\u00a0Living Off the Land<\/em>\u00ab\u00a0.<\/p>\n

Bien entendu, pour installer un fichier obsol\u00e8te sur l\u2019ordinateur de la victime, il faut d\u2019abord y avoir acc\u00e8s. Cependant, les fichiers VULNBins ne sont pas utilis\u00e9s pour p\u00e9n\u00e9trer dans le syst\u00e8me pris pour cible, mais plut\u00f4t pour s\u2019y installer de fa\u00e7on persistante sans \u00eatre remarqu\u00e9.<\/p>\n\n

Exemples concrets d\u2019utilisation de programmes et de composants de syst\u00e8me obsol\u00e8tes<\/h2>\n

Si un pirate informatique n\u2019obtient pas les droits d\u2019administrateur, il aura certainement recours \u00e0 une m\u00e9thode qui consiste \u00e0 utiliser un vieux lecteur vid\u00e9o avec une faille de type d\u00e9bordement de tampon. Dans le planificateur de t\u00e2ches, les cybercriminels cr\u00e9ent une t\u00e2che planifi\u00e9e qui communique avec le lecteur vid\u00e9o, dont le fichier de configuration a \u00e9t\u00e9 modifi\u00e9, afin d\u2019exploiter la vuln\u00e9rabilit\u00e9 pour pouvoir y ins\u00e9rer le code n\u00e9cessaire pour passer \u00e0 la prochaine \u00e9tape de l\u2019attaque.<\/p>\n

Cependant, si les cybercriminels du groupe InvisiMole r\u00e9ussissent \u00e0 obtenir les droits d\u2019administrateur, ils peuvent utiliser une autre m\u00e9thode qui se sert d\u2019un composant l\u00e9gitime du syst\u00e8me comme setupSNK.exe, la biblioth\u00e8que de Windows XP wdigest.dll, et Rundll32.exe (provenant eux aussi du syst\u00e8me obsol\u00e8te), n\u00e9cessaires pour ex\u00e9cuter la biblioth\u00e8que. Ensuite, ils manipulent les donn\u00e9es que la biblioth\u00e8que, cr\u00e9\u00e9e avant l\u2019impl\u00e9mentation de la technologie ASLR, stocke dans la m\u00e9moire. Par cons\u00e9quent, les cybercriminels connaissent l\u2019adresse exacte de la m\u00e9moire o\u00f9 les donn\u00e9es seront stock\u00e9es.<\/p>\n

Ils conservent la plupart de la charge utile pr\u00e9alablement chiffr\u00e9e dans le registre, et toutes les biblioth\u00e8ques et les fichiers ex\u00e9cutables qu\u2019ils utilisent sont l\u00e9gitimes. Tout ce qui trahit la pr\u00e9sence de l\u2019ennemi c\u2019est le fichier avec les param\u00e8tres du lecteur et l\u2019exploit qui s\u2019attaque aux biblioth\u00e8ques obsol\u00e8tes. Mais ce n\u2019est g\u00e9n\u00e9ralement pas suffisant pour \u00e9veiller les soup\u00e7ons.<\/p>\n

Comment se prot\u00e9ger<\/h2>\n

Afin d\u2019emp\u00eacher les cybercriminels d\u2019utiliser de vieux fichiers et des composants de syst\u00e8me obsol\u00e8tes (en particulier ceux provenant d\u2019\u00e9diteurs l\u00e9gitimes), poss\u00e9der une base de donn\u00e9es de ces fichiers serait un bon d\u00e9but. Cela permettrait aux syst\u00e8mes de d\u00e9fense de les bloquer, ou au moins de les pister si la m\u00e9thode pr\u00e9c\u00e9dente ne peut pas \u00eatre mise en place. Mais ce n\u2019est pas le cas.<\/p>\n

Comme une telle liste n\u2019existe pas encore, utilisez notre solution de type EDR<\/a> afin de\u00a0:<\/p>\n