À la fin de l’été 2021, les solutions de détection automatique de Kaspersky ont empêché une série d’attaques utilisant un exploit portant sur l’élévation de privilèges via plusieurs serveurs Microsoft Windows. Après une analyse plus approfondie de l’attaque, les chercheurs de Kaspersky ont découvert un nouvel exploit Zero-Day.
Au cours du premier semestre 2021, les experts Kaspersky ont observé une augmentation des attaques utilisant des vulnérabilités Zero-Day. Une vulnérabilité de type “Zero-Day” est un bug logiciel inconnu découvert par des hackers pour lequel aucun correctif n’a été mis en place.
Les solutions de Kaspersky ont détecté une série d’attaques utilisant un exploit via l’élévation de privilèges sur plusieurs serveurs Microsoft Windows. Cet exploit comportait de nombreuses chaînes de débogage provenant d’un exploit plus ancien et publiquement connu pour la vulnérabilité CVE-2016-3309. Cependant, une analyse plus approfondie révèle que les chercheurs de Kaspersky ont découvert un nouvel exploit Zero-Day. Ils l’ont nommé MysterySnail.
La similitude du code découvert avec l’infrastructure de commande et de contrôle (C&C) et sa réutilisation ont permis aux chercheurs de relier ces attaques au tristement célèbre groupe de hackers IronHusky et à ses activités APT perpétrées en mandarin en 2012.
En analysant le malware utilisé avec l’exploit Zero-Day, les chercheurs de Kaspersky ont découvert que des variantes de celui-ci ont été utilisées dans des campagnes d’espionnage à grande échelle contre des sociétés informatiques, des organisations militaires et de défense ainsi que des entités diplomatiques.
La vulnérabilité a été signalée à Microsoft et corrigée le 12 octobre 2021, dans le cadre de l’October Patch Tuesday.
Les produits Kaspersky détectent et protègent contre l’exploitation de la vulnérabilité mentionnée ci-dessus et les modules malveillants associés.
« Au cours des dernières années, nous avons observé une tendance constante de la part des attaquants qui tentent de trouver des exploits Zero-Day. Ces vulnérabilités, jusqu’alors inconnues des éditeurs, peuvent constituer une menace sérieuse pour les organisations. Cependant, la plupart d’entre elles partagent des caractéristiques similaires. C’est pourquoi il est important de s’appuyer sur les dernières informations sur les menaces et d’installer des solutions de sécurité qui détectent de manière proactive les menaces inconnues », commente Boris Larin, security expert, Kaspersky Global Research and Analysis Team (GReAT).
Apprenez-en plus sur cette faille Zero-Day sur Securelist.
Pour protéger votre organisation contre les attaques exploitant les vulnérabilités susmentionnées, les experts de Kaspersky recommandent :
– Mettez à jour le système d’exploitation Microsoft Windows et les autres logiciels tiers dès que possible et faites-le régulièrement.
– Utilisez une solution de sécurité des endpoints fiable, telle que Kaspersky Endpoint Security for Business, qui permet de prévenir les exploits, de détecter les comportements et dispose d’un moteur de remédiation capable d’annuler les actions malveillantes.
– Installez des solutions anti-APT et EDR, permettant de découvrir et de détecter les menaces, d’enquêter et de remédier rapidement aux incidents. Fournissez à votre équipe SOC un accès aux dernières informations sur les menaces et formez-la régulièrement. Tout cela est possible via Kaspersky Expert Security.
– En plus d’une protection appropriée des endpoints, des services dédiés peuvent vous aider à lutter contre les attaques de grande envergure. Kaspersky Managed Detection and Response permet d’identifier et de stopper les attaques à un stade précoce, avant que les attaquants ne parviennent à leurs fins.