Une entreprise viennoise aurait utilisé plusieurs exploits 0-day pour des logiciels malveillants. Les spécialistes de Microsoft ont suivi et évalué plusieurs attaques. La société DSIRF - nom de code Renouée - veut n'y voir "rien d'abusif". L'exploit Subzero devrait certainement provenir de DSIRF et probablement d'un cheval de Troie développé.
Comme déjà heise.de signalé, Microsoft se plaint de la société viennoise DSIRF, car elle aurait elle-même utilisé un cheval de Troie d'État spécialement développé. Avec Subzero, plusieurs cibles ont été piratées et surveillées depuis février 2020, comme des avocats ou des banques. La DSIRF ne conteste pas ce fait, mais nie tout abus.
Subzero déjà utilisé depuis 2020
Dans une présentation publicitaire, la DSIRF aurait décrit à quoi ressemblent ses domaines d'activité : la biométrie, la préservation des preuves informatiques, l'analyse des élections et des campagnes électorales, et la cyberguerre. Dans cette mesure, le cheval de Troie Subzero aurait été annoncé comme une arme pour la prochaine génération de guerre en ligne. Portail opposé heise.de Subzero a été décrit comme un logiciel à usage officiel dans les pays de l'UE. Un peu compliqué pour un cheval de Troie d'État.
Dans sa propre analyse, Microsoft décrit les cyberattaques découvertes en 2021 et 2022. Par exemple : « En mai 2022, le Microsoft Threat Intelligence Center (MSTIC) a trouvé un Adobe Reader Remote Code Execution (RCE) et un 0-Day Windows Privilege Escalation Exploit Chain utilisé dans une attaque qui a conduit au déploiement de Subzero ».
Microsoft Threat Intelligence Center mène des recherches
Les exploits ont été regroupés dans un document PDF qui a été envoyé par e-mail à la victime. Microsoft n'a pas été en mesure d'acquérir la partie PDF ou Adobe Reader RCE de la chaîne d'exploitation, mais la version d'Adobe Reader de la victime a été publiée en janvier 2022, ce qui signifie que l'exploitation utilisée était soit une exploitation d'un jour qui a été développée entre janvier et mai , ou un exploit de 1 jour. Sur la base de l'utilisation intensive par KNOTWEED d'autres 0-days, nous sommes raisonnablement convaincus qu'Adobe Reader RCE est un exploit 0-day. L'exploit Windows a été analysé par MSRC, s'est avéré être un exploit 0-day, puis corrigé en tant que CVE-0-2022 en juillet 2022.
L'attaque Subzero comporte différentes étapes indiquant le nom de détection de Microsoft Defender : Jumplump pour le chargeur persistant et Corelump pour le malware principal. Microsoft a un article de blog détaillé pour cela avec beaucoup de description technique.
Plus sur Microsoft.com
À propos de Microsoft Allemagne Microsoft Deutschland GmbH a été fondée en 1983 en tant que filiale allemande de Microsoft Corporation (Redmond, USA). Microsoft s'engage à donner à chaque personne et à chaque organisation de la planète les moyens d'en faire plus. Ce défi ne peut être relevé qu'ensemble, c'est pourquoi la diversité et l'inclusion sont solidement ancrées dans la culture d'entreprise depuis le tout début. En tant que premier fabricant mondial de solutions logicielles productives et de services modernes à l'ère du cloud intelligent et de la périphérie intelligente, ainsi qu'en tant que développeur de matériel innovant, Microsoft se considère comme un partenaire de ses clients afin de les aider à tirer parti de la transformation numérique. La sécurité et la confidentialité sont des priorités absolues lors du développement de solutions. En tant que plus grand contributeur au monde, Microsoft pilote la technologie open source via sa principale plateforme de développement, GitHub. Avec LinkedIn, le plus grand réseau de carrière, Microsoft promeut le réseautage professionnel dans le monde entier.