{"id":17104,"date":"2021-06-15T09:01:59","date_gmt":"2021-06-15T07:01:59","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=17104"},"modified":"2021-06-15T09:01:59","modified_gmt":"2021-06-15T07:01:59","slug":"chrome-windows-zero-day","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/chrome-windows-zero-day\/17104\/","title":{"rendered":"PuzzleMaker : attaques cibl\u00e9es contre plusieurs entreprises"},"content":{"rendered":"

Le module de d\u00e9tection comportementale des menaces et les technologies de pr\u00e9vention des failles d\u2019exploitation de Kaspersky Endpoint Security for Business<\/a> ont d\u00e9tect\u00e9 une s\u00e9rie d\u2019attaques cibl\u00e9es contre plusieurs entreprises. Ces attaques ont exploit\u00e9 des vuln\u00e9rabilit\u00e9s de type zero-day pr\u00e9sentes dans Google Chrome et dans Microsoft Windows. Des correctifs sont d\u00e9sormais disponibles (celui de Microsoft a \u00e9t\u00e9 publi\u00e9 le jeudi 8 juin), donc nous vous recommandons de mettre \u00e0 jour votre navigateur ainsi que votre syst\u00e8me d\u2019exploitation. L\u2019auteur de ces attaques se nomme PuzzleMaker.<\/p>\n

En quoi les attaques de PuzzleMaker sont-elles dangereuses ?<\/h2>\n

Les cybercriminels utilisent une vuln\u00e9rabilit\u00e9 pr\u00e9sente dans Google Chrome afin d\u2019ex\u00e9cuter un code malveillant sur l\u2019appareil cibl\u00e9 puis se servent de deux vuln\u00e9rabilit\u00e9s de Windows 10 pour contourner la sandbox<\/a> et obtenir des privil\u00e8ges dans le syst\u00e8me. Ils installent ensuite le premier module du malware, que l\u2019on appelle stager, sur le dispositif de la victime avec un bloc de configuration personnalis\u00e9e (l\u2019adresse d\u2019un serveur de commande et de contr\u00f4le, l\u2019identifiant de session, la cl\u00e9 de d\u00e9chiffrement pour le module suivant, etc.).<\/p>\n

Le stager informe le cybercriminel que l\u2019infection s\u2019est d\u00e9roul\u00e9e avec succ\u00e8s puis t\u00e9l\u00e9charge et d\u00e9chiffre un cheval de Troie dropper<\/a> qui \u00e0 son tour installe deux fichiers ex\u00e9cutables qui se font passer pour des fichiers l\u00e9gitimes. Le premier, WmiPrvMon.ex\u0435, s\u2019enregistre comme un service et ex\u00e9cute le deuxi\u00e8me fichier du nom de wmimon.dll. Ce dernier est la charge utile<\/a> principale de l\u2019attaque et se pr\u00e9sente sous la forme d\u2019une interface syst\u00e8me \u00e0 distance (remote shell<\/em>).<\/p>\n

Les cybercriminels utilisent cette interface syst\u00e8me afin de prendre compl\u00e8tement le contr\u00f4le du dispositif cibl\u00e9. Ils peuvent envoyer et t\u00e9l\u00e9charger des fichiers, cr\u00e9er des processus, rester dans le syst\u00e8me pendant un certain temps, et m\u00eame se d\u00e9barrasser de toutes traces de l\u2019attaque. Ce composant qui fait partie du malware communique avec le serveur de commande et de contr\u00f4le via une connexion chiffr\u00e9e.<\/p>\n

De quels exploits et de quelles vuln\u00e9rabilit\u00e9s s\u2019agit-il ?<\/h2>\n

Malheureusement, nos experts n\u2019ont pas pu d\u00e9crypter l\u2019ex\u00e9cution du code arbitraire<\/a> que PuzzleMaker a utilis\u00e9 pour mener l\u2019attaque contre Google Chrome, mais ils ont men\u00e9 une enqu\u00eate approfondie qui a r\u00e9v\u00e9l\u00e9 que la vuln\u00e9rabilit\u00e9 utilis\u00e9e par les cybercriminels \u00e9tait la vuln\u00e9rabilit\u00e9 CVE-2021-21224<\/a>. Si vous voulez savoir pourquoi et comment ils sont arriv\u00e9s \u00e0 cette conclusion, nous vous recommandons de jeter un coup d\u2019\u0153il \u00e0 leur raisonnement dans cet article de Securelist<\/a>. Dans tous les cas, Google a publi\u00e9 un correctif pour cette vuln\u00e9rabilit\u00e9 le 20 avril 2021, moins d\u2019une semaine apr\u00e8s que nous avons d\u00e9couvert la s\u00e9rie d\u2019attaques.<\/p>\n

L\u2019\u00e9l\u00e9vation de privil\u00e8ges utilise deux vuln\u00e9rabilit\u00e9s de Windows 10 en m\u00eame temps. La premi\u00e8re, CVE-2021-31955<\/a>, touche la divulgation d\u2019informations et se trouve dans le fichier ntoskrnl.exe. L\u2019exploit l\u2019utilise pour d\u00e9terminer l\u2019adresse de la structure de donn\u00e9es du noyau EPROCESS pour les processus ex\u00e9cut\u00e9s. La deuxi\u00e8me vuln\u00e9rabilit\u00e9, CVE-2021-31956<\/a>, se trouve dans le pilote de l\u2019ordinateur et appartient \u00e0 la classe de vuln\u00e9rabilit\u00e9 de d\u00e9passement de tas<\/a>. Les malfaiteurs l\u2019ont utilis\u00e9e avec Windows Notification Facility (WNF) pour lire et \u00e9crire des donn\u00e9es sur la m\u00e9moire. Cet exploit fonctionne dans la plupart des versions de Windows 10\u00a0: 17763 (Redstone 5), 18362 (19H1), 18363 (19H2), 19041 (20H1), et 19042 (20H2). La version 19043 (21H1) pr\u00e9sente \u00e9galement des vuln\u00e9rabilit\u00e9s, m\u00eame si nous n\u2019avons d\u00e9tect\u00e9 aucune attaque dans cette version, qui a \u00e9t\u00e9 publi\u00e9e apr\u00e8s la d\u00e9tection de PuzzleMaker. Vous pouvez voir sur le site de Securelist une description technique d\u00e9taill\u00e9e<\/a> et une liste d\u2019indicateurs de compromission.<\/p>\n

Se prot\u00e9ger contre ce genre d\u2019attaques ou des attaques similaires<\/h2>\n

Afin de prot\u00e9ger votre entreprise contre les exploits utilis\u00e9s dans les attaques men\u00e9es par PuzzleMaker, il faut tout d\u2019abord mettre \u00e0 jour votre navigateur Chrome et installer les correctifs du syst\u00e8me d\u2019exploitation (\u00e0 parti du site Web officiel<\/a> de Microsoft<\/a>) afin de corriger les vuln\u00e9rabilit\u00e9s CVE-2021-31955 et CVE-2021-31956.<\/p>\n

Ceci \u00e9tant dit, afin de pr\u00e9venir les exploits des vuln\u00e9rabilit\u00e9s de type zero-day, chaque entreprise doit poss\u00e9der une solution de s\u00e9curit\u00e9 qui peut d\u00e9tecter ce genre d\u2019exploits en analysant les comportements dangereux. Par exemple, nos produits ont pu d\u00e9tecter cette attaque gr\u00e2ce \u00e0 la technologie de d\u00e9tection comportementale et \u00e0 notre sous-syst\u00e8me de pr\u00e9vention des failles d\u2019exploitation de Kaspersky Endpoint Security for Business<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Nos technologies ont d\u00e9tect\u00e9 des attaques cibl\u00e9es impliquant un nombre important d\u2019exploits zero-day. <\/p>\n","protected":false},"author":700,"featured_media":17105,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150],"tags":[13,693,322,23],"class_list":{"0":"post-17104","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-chrome","10":"tag-exploits","11":"tag-vulnerabilites","12":"tag-windows"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/chrome-windows-zero-day\/17104\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/chrome-windows-zero-day\/22945\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/chrome-windows-zero-day\/18438\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/chrome-windows-zero-day\/24889\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/chrome-windows-zero-day\/22882\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/chrome-windows-zero-day\/22099\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/chrome-windows-zero-day\/25457\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/chrome-windows-zero-day\/24893\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/chrome-windows-zero-day\/30891\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/chrome-windows-zero-day\/9728\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/chrome-windows-zero-day\/40191\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/chrome-windows-zero-day\/17609\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/chrome-windows-zero-day\/14905\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/chrome-windows-zero-day\/26918\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/chrome-windows-zero-day\/31022\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/chrome-windows-zero-day\/27149\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/chrome-windows-zero-day\/24006\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/chrome-windows-zero-day\/29322\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/chrome-windows-zero-day\/29126\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/vulnerabilites\/","name":"Vuln\u00e9rabilit\u00e9s"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/17104","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=17104"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/17104\/revisions"}],"predecessor-version":[{"id":17110,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/17104\/revisions\/17110"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/17105"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=17104"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=17104"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=17104"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}