En avril dernier, les experts de Kaspersky ont découvert une série de cyberattaques très ciblées utilisant des exploits contre plusieurs entreprises utilisant des zero-days non découverts auparavant pour Google Chrome et Microsoft Windows. Le nouvel acteur menaçant PuzzleMaker est en action.
Kaspersky n'a pas été en mesure de se connecter à des acteurs de menace connus jusqu'à présent, il appelle donc ce nouvel acteur de menace PuzzleMaker. L'un des exploits a été utilisé pour l'exécution de code à distance dans le navigateur Web Chrome, l'autre a été utilisé pour l'élévation des privilèges et ciblait les versions les plus récentes et les plus populaires de Windows 10. Ce dernier exploite deux vulnérabilités du noyau du système d'exploitation Microsoft Windows : la vulnérabilité CVE-2021-31955 et la vulnérabilité d'élévation de privilèges CVE-2021-31956. Microsoft a corrigé les deux hier soir dans le cadre du Patch Tuesday.
Créateur de puzzle Zero Day
Au cours des derniers mois, il y a eu un certain nombre d'activités de menace avancées qui exploitent les zero-days. À la mi-avril, les experts de Kaspersky ont découvert une nouvelle vague d'attaques d'exploitation hautement ciblées contre plusieurs entreprises, où les attaquants pouvaient secrètement compromettre les réseaux ciblés. Toutes les attaques ont été menées via Chrome et ont utilisé un exploit permettant l'exécution de code à distance.
Les chercheurs de Kaspersky n'ont pas pu obtenir le code de l'exploit d'exécution à distance, mais le timing et la disponibilité indiquent que les attaquants ont exploité la vulnérabilité désormais corrigée CVE-2021-21224. Ceci est lié à un bogue d'incompatibilité de type dans V8 - un moteur JavaScript utilisé par les navigateurs Web Chrome et Chromium. Cela a permis aux pirates d'exploiter le processus de rendu Chrome, qui est responsable de ce qui se passe dans l'onglet d'un utilisateur.
Deux vulnérabilités dans le noyau Microsoft Windows
Cependant, les experts de Kaspersky ont pu identifier et analyser le deuxième exploit. Il s'agit d'un exploit d'élévation de privilèges qui exploite deux vulnérabilités dans le noyau du système d'exploitation Microsoft Windows. La première est une vulnérabilité de divulgation d'informations appelée CVE-2021-31955 qui divulgue des informations sensibles sur le noyau. La vulnérabilité est liée à SuperFetch, une fonctionnalité introduite pour la première fois dans Windows Vista qui a été conçue pour réduire les temps de chargement des logiciels en préchargeant les applications fréquemment utilisées dans la mémoire.
La seconde est une vulnérabilité d'élévation des privilèges qui permet aux attaquants de compromettre le noyau et d'obtenir un accès élevé à l'ordinateur. Il porte la désignation CVE-2021-31956 et est un dépassement de mémoire tampon basé sur le tas. Les attaquants ont utilisé la vulnérabilité CVE-2021-31956 avec Windows Notification Facility (WNF) pour créer des primitives de lecture et d'écriture arbitraires dans la mémoire et exécuter des modules malveillants avec des privilèges système.
Le compte-gouttes de logiciels malveillants recharge le module de shell distant
Une fois que les attaquants ont utilisé à la fois les exploits Chrome et Windows pour prendre pied sur le système cible, le module de transfert télécharge et exécute un compte-gouttes de logiciels malveillants plus complexe à partir d'un serveur distant. Cela installe ensuite deux fichiers exécutables se faisant passer pour des fichiers légitimes du système d'exploitation Microsoft Windows. Le second de ces deux exécutables est un module shell distant capable de télécharger et de télécharger des fichiers, de créer des processus, d'être inactif pendant une durée spécifiée et de se supprimer du système infecté. Microsoft a publié un correctif pour les deux vulnérabilités de Windows dans le cadre du Patch Tuesday.
Plus sur Kaspersky.com
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/