Le module de détection comportementale des menaces et les technologies de prévention des failles d’exploitation de Kaspersky Endpoint Security for Business ont détecté une série d’attaques ciblées contre plusieurs entreprises. Ces attaques ont exploité des vulnérabilités de type zero-day présentes dans Google Chrome et dans Microsoft Windows. Des correctifs sont désormais disponibles (celui de Microsoft a été publié le jeudi 8 juin), donc nous vous recommandons de mettre à jour votre navigateur ainsi que votre système d’exploitation. L’auteur de ces attaques se nomme PuzzleMaker.
En quoi les attaques de PuzzleMaker sont-elles dangereuses ?
Les cybercriminels utilisent une vulnérabilité présente dans Google Chrome afin d’exécuter un code malveillant sur l’appareil ciblé puis se servent de deux vulnérabilités de Windows 10 pour contourner la sandbox et obtenir des privilèges dans le système. Ils installent ensuite le premier module du malware, que l’on appelle stager, sur le dispositif de la victime avec un bloc de configuration personnalisée (l’adresse d’un serveur de commande et de contrôle, l’identifiant de session, la clé de déchiffrement pour le module suivant, etc.).
Le stager informe le cybercriminel que l’infection s’est déroulée avec succès puis télécharge et déchiffre un cheval de Troie dropper qui à son tour installe deux fichiers exécutables qui se font passer pour des fichiers légitimes. Le premier, WmiPrvMon.exе, s’enregistre comme un service et exécute le deuxième fichier du nom de wmimon.dll. Ce dernier est la charge utile principale de l’attaque et se présente sous la forme d’une interface système à distance (remote shell).
Les cybercriminels utilisent cette interface système afin de prendre complètement le contrôle du dispositif ciblé. Ils peuvent envoyer et télécharger des fichiers, créer des processus, rester dans le système pendant un certain temps, et même se débarrasser de toutes traces de l’attaque. Ce composant qui fait partie du malware communique avec le serveur de commande et de contrôle via une connexion chiffrée.
De quels exploits et de quelles vulnérabilités s’agit-il ?
Malheureusement, nos experts n’ont pas pu décrypter l’exécution du code arbitraire que PuzzleMaker a utilisé pour mener l’attaque contre Google Chrome, mais ils ont mené une enquête approfondie qui a révélé que la vulnérabilité utilisée par les cybercriminels était la vulnérabilité CVE-2021-21224. Si vous voulez savoir pourquoi et comment ils sont arrivés à cette conclusion, nous vous recommandons de jeter un coup d’œil à leur raisonnement dans cet article de Securelist. Dans tous les cas, Google a publié un correctif pour cette vulnérabilité le 20 avril 2021, moins d’une semaine après que nous avons découvert la série d’attaques.
L’élévation de privilèges utilise deux vulnérabilités de Windows 10 en même temps. La première, CVE-2021-31955, touche la divulgation d’informations et se trouve dans le fichier ntoskrnl.exe. L’exploit l’utilise pour déterminer l’adresse de la structure de données du noyau EPROCESS pour les processus exécutés. La deuxième vulnérabilité, CVE-2021-31956, se trouve dans le pilote de l’ordinateur et appartient à la classe de vulnérabilité de dépassement de tas. Les malfaiteurs l’ont utilisée avec Windows Notification Facility (WNF) pour lire et écrire des données sur la mémoire. Cet exploit fonctionne dans la plupart des versions de Windows 10 : 17763 (Redstone 5), 18362 (19H1), 18363 (19H2), 19041 (20H1), et 19042 (20H2). La version 19043 (21H1) présente également des vulnérabilités, même si nous n’avons détecté aucune attaque dans cette version, qui a été publiée après la détection de PuzzleMaker. Vous pouvez voir sur le site de Securelist une description technique détaillée et une liste d’indicateurs de compromission.
Se protéger contre ce genre d’attaques ou des attaques similaires
Afin de protéger votre entreprise contre les exploits utilisés dans les attaques menées par PuzzleMaker, il faut tout d’abord mettre à jour votre navigateur Chrome et installer les correctifs du système d’exploitation (à parti du site Web officiel de Microsoft) afin de corriger les vulnérabilités CVE-2021-31955 et CVE-2021-31956.
Ceci étant dit, afin de prévenir les exploits des vulnérabilités de type zero-day, chaque entreprise doit posséder une solution de sécurité qui peut détecter ce genre d’exploits en analysant les comportements dangereux. Par exemple, nos produits ont pu détecter cette attaque grâce à la technologie de détection comportementale et à notre sous-système de prévention des failles d’exploitation de Kaspersky Endpoint Security for Business.