{"id":17877,"date":"2021-10-15T15:13:24","date_gmt":"2021-10-15T13:13:24","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=17877"},"modified":"2021-10-15T15:13:24","modified_gmt":"2021-10-15T13:13:24","slug":"mysterysnail-progresse-via-une-vulnerabilite-zero-day","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/mysterysnail-progresse-via-une-vulnerabilite-zero-day\/17877\/","title":{"rendered":"MysterySnail progresse via une vuln\u00e9rabilit\u00e9 zero-day"},"content":{"rendered":"

Nos technologies de d\u00e9tection comportementale et de protection contre les exploits ont r\u00e9cemment d\u00e9tect\u00e9 l\u2019exploitation d\u2019une vuln\u00e9rabilit\u00e9 dans le pilote de noyau Win32k, ce qui a amen\u00e9 notre \u00e9quipe \u00e0 faire une analyse compl\u00e8te de l\u2019op\u00e9ration cybercriminelle \u00e0 l\u2019origine de l\u2019exploitation. Nous avons signal\u00e9 la vuln\u00e9rabilit\u00e9 (CVE-2021-40449<\/a>) \u00e0 Windows qui l\u2019a corrig\u00e9e lors d\u2019une mise \u00e0 jour r\u00e9guli\u00e8re le 12 octobre. Ainsi, comme d\u2019habitude apr\u00e8s un Patch Tuesday, nous vous conseillons de mettre \u00e0 jour Microsoft Windows<\/a> d\u00e8s que possible.<\/p>\n

Utilisation de la vuln\u00e9rabilit\u00e9 CVE-2021-40449<\/h2>\n

CVE-2021-40449 est une vuln\u00e9rabilit\u00e9 de type Use-After-Free<\/a> dans la fonction NtGdiResetDC du pilote Win32k. Une description technique d\u00e9taill\u00e9e est disponible dans l\u2019article que nous avons publi\u00e9 sur Securelist<\/a> mais, en quelques mots, la vuln\u00e9rabilit\u00e9 peut provoquer la fuite des adresses du module du noyau dans la m\u00e9moire de l\u2019ordinateur. Les cybercriminels peuvent alors se servir de cette fuite pour \u00e9lever les privil\u00e8ges d\u2019un autre processus malveillant.<\/p>\n

Gr\u00e2ce \u00e0 l\u2019\u00e9l\u00e9vation de privil\u00e8ges, les escrocs peuvent t\u00e9l\u00e9charger et lancer MysterySnail, un cheval de Troie d\u2019acc\u00e8s \u00e0 distance (RAT)<\/a> qui leur permet d\u2019acc\u00e9der au syst\u00e8me de la victime.<\/p>\n

Fonctionnalit\u00e9s de MysterySnail<\/h2>\n

Le cheval de Troie commence par r\u00e9cup\u00e9rer des informations sur le syst\u00e8me infect\u00e9 et les envoie au serveur de commande et contr\u00f4le. Puis, gr\u00e2ce \u00e0 MysterySnail, les cybercriminels peuvent transmettre plusieurs ordres. Par exemple, ils peuvent cr\u00e9er, lire ou supprimer un fichier en particulier\u00a0; cr\u00e9er ou supprimer un processus\u00a0; obtenir une liste d\u2019annuaire\u00a0; ou encore ouvrir un proxy et s\u2019en servir pour envoyer les donn\u00e9es.<\/p>\n

Les autres fonctions de MysterySnail incluent la possibilit\u00e9 de voir la liste des dispositifs connect\u00e9s, de surveiller en arri\u00e8re-plan la connexion des disques durs externes, et de faire bien d\u2019autres choses. Le cheval de Troie peut aussi lancer le shell interactif cmd.exe, en copiant le fichier cmd.exe dans un dossier temporaire avec un nom diff\u00e9rent.<\/p>\n

Attaques via CVE-2021-40449<\/h2>\n

L\u2019exploit de cette vuln\u00e9rabilit\u00e9 couvre toute une s\u00e9rie de syst\u00e8mes d\u2019exploitation de la famille Microsoft Windows\u00a0: Vista, 7, 8, 8.1, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, Windows 10 (version 14393), Server 2016 (version 14393), 10 (version 17763) et Server 2019 (version 17763). Selon nos experts, l\u2019exploit existe pr\u00e9cis\u00e9ment pour \u00e9lever les privil\u00e8ges sur les versions du serveur de ces syst\u00e8mes d\u2019exploitation.<\/p>\n

Apr\u00e8s avoir d\u00e9tect\u00e9 la menace, nos experts ont \u00e9tabli que l\u2019exploit et le malware MysterySnail, charg\u00e9 sur le syst\u00e8me, ont \u00e9t\u00e9 largement utilis\u00e9s dans des op\u00e9rations d\u2019espionnage d\u2019entreprises informatiques, d\u2019institutions diplomatiques et d\u2019entreprises qui travaillent dans le secteur de la d\u00e9fense.<\/p>\n

Gr\u00e2ce \u00e0 Kaspersky Threat Attribution Engine, nos experts ont pu trouver des ressemblances dans le code et dans les fonctionnalit\u00e9s de MysterySnail et du malware utilis\u00e9 par le groupe IronHusky. De plus, un groupe APT en chinois a utilis\u00e9 certaines des adresses du serveur C&C de MysterySnail en 2012.<\/p>\n

Pour plus d\u2019informations sur cette attaque, et pour obtenir une description d\u00e9taill\u00e9e de l\u2019exploit et les indicateurs de compromission, lisez l\u2019article publi\u00e9 sur Securelist<\/a>.<\/p>\n

Comment vous prot\u00e9ger<\/h2>\n

Commencez par installer les derniers patchs de Microsoft et \u00e9vitez les vuln\u00e9rabilit\u00e9s zero-day en utilisant sur tous les ordinateurs ayant acc\u00e8s \u00e0 Internet des solutions de s\u00e9curit\u00e9 robustes qui d\u00e9tectent les vuln\u00e9rabilit\u00e9s de fa\u00e7on proactive et les arr\u00eatent. Les technologies de d\u00e9tection comportementale et de protection contre les exploits, comme celles dont dispose Kaspersky Endpoint Security for Business<\/a>, ont d\u00e9tect\u00e9 CVE-2021-40449.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Nos technologies de s\u00e9curit\u00e9 ont d\u00e9tect\u00e9 l\u2019exploitation d\u2019une vuln\u00e9rabilit\u00e9 jusqu\u2019alors inconnue dans le pilote Win32k.<\/p>\n","protected":false},"author":2581,"featured_media":17878,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,3151],"tags":[161,693,784,322,23],"class_list":{"0":"post-17877","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-cheval-de-troie","11":"tag-exploits","12":"tag-rat","13":"tag-vulnerabilites","14":"tag-windows"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/mysterysnail-progresse-via-une-vulnerabilite-zero-day\/17877\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/vulnerabilites\/","name":"Vuln\u00e9rabilit\u00e9s"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/17877","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=17877"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/17877\/revisions"}],"predecessor-version":[{"id":17879,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/17877\/revisions\/17879"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/17878"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=17877"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=17877"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=17877"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}