Attaques ciblées : Kaspersky détecte les exploits zero-day dans le système d'exploitation Windows et Internet Explorer. L'acteur APT DarkHotel pourrait être à l'origine des exploits.
À la fin du printemps 2020, les technologies de détection automatisée de Kaspersky ont empêché une attaque ciblée contre une entreprise sud-coréenne. En examinant l'attaque de plus près, les chercheurs de Kaspersky ont découvert deux vulnérabilités jusque-là inconnues : un exploit pour exécuter du code étranger dans Internet Explorer 11 et un exploit d'élévation de privilèges (EoP) pour obtenir des droits d'accès plus élevés dans les versions actuelles de Windows 10. des exploits ont déjà été publiés.
Les vulnérabilités zero-day sont des bogues logiciels jusque-là inconnus. Jusqu'à ce qu'ils soient découverts, les attaquants peuvent les utiliser en silence pour des activités malveillantes et causer de graves dommages.
Exploiter dans le système d'exploitation Windows
Les chercheurs de Kaspersky ont découvert deux vulnérabilités zero-day alors qu'ils enquêtaient sur une attaque ciblée en Corée. Le premier exploit "use-after-free" pour Internet Explorer est capable d'exécuter à distance du code étranger et a reçu la désignation CVE-2020-1380. Cependant, étant donné qu'Internet Explorer fonctionne dans un environnement isolé, les attaquants avaient besoin de droits supplémentaires sur les appareils infectés. Ils l'ont reçu via un deuxième exploit dans le système d'exploitation Windows. L'exploit a profité d'une vulnérabilité dans le service d'impression et a permis l'exécution de code arbitraire. L'exploit dans le système d'exploitation s'appelle CVE-2020-0986.
"Les vraies attaques avec des vulnérabilités zero-day 'in the wild' suscitent toujours beaucoup d'intérêt sur la scène de la cybersécurité", explique Boris Larin, expert en sécurité chez Kaspersky. « La découverte réussie de telles vulnérabilités met la pression sur les fournisseurs pour qu'ils publient des correctifs immédiatement et obligent les utilisateurs à installer les mises à jour nécessaires. Ce qui est particulièrement intéressant à propos de l'attaque découverte, c'est que les exploits précédents visaient principalement à obtenir des privilèges plus élevés. Cependant, ce cas inclut un exploit avec des capacités d'exécution de code à distance, ce qui le rend plus dangereux. Outre la possibilité d'affecter les dernières versions de Windows 10, l'attaque détectée est vraiment une chose rare de nos jours. Cela devrait nous rappeler d'investir dans une intelligence supérieure des menaces et des technologies de protection éprouvées pour détecter activement les dernières menaces zero-day.
Le groupe DarkHotel est-il derrière les exploits zero-day ?
Les experts de Kaspersky soupçonnent que le groupe DarkHotel pourrait être à l'origine de l'attaque, car le nouvel exploit présente certaines similitudes avec les attaques précédentes menées par DarkHotel. Le portail Kaspersky Threat Intelligence fournit des informations détaillées sur l'IoC (indicateurs de compromission) de ce groupe, y compris les hachages de fichiers et les serveurs C&C. Les solutions Kaspersky détectent les exploits en tant que PDM:Exploit.Win32.Generic.
Le correctif pour la vulnérabilité liée aux droits CVE-2020-0986 a été publié le 9 juin 2020, celui pour l'exécution de code étranger (CVE-2020-1380) le 11 août 2020.
Recommandations de sécurité de Kaspersky
- Les correctifs Microsoft doivent être installés dès que possible, car les attaquants ne peuvent alors plus exploiter ces vulnérabilités découvertes.
- Les équipes SOC doivent avoir accès à des renseignements à jour sur les menaces. Le portail Kaspersky Threat Intelligence peut servir de guichet unique. Il fournit des données détaillées sur les cyberattaques et des informations que Kaspersky a accumulées sur plus de 20 ans.
- Les solutions EDR telles que Kaspersky Endpoint Detection and Response permettent de détecter, d'enquêter et de résoudre rapidement les incidents sur les terminaux.
- En outre, les entreprises doivent utiliser des solutions de sécurité qui détectent les menaces complexes dès les premières étapes au niveau du réseau, telles que Kaspersky Anti Targeted Attack Platform.
Plus d'informations sur ces exploits nouvellement découverts sont disponibles dans un rapport en anglais.
Plus d'informations à ce sujet sur SecureList sur Kaspersky.com
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/