Nos technologies ont récemment détenu une attaque qui visait une entreprise sud-coréenne. Vous pensez sûrement que pour nous c’est une journée comme une autre, mais lorsque nos experts ont analysé les outils des cybercriminels, ils ont découvert deux vulnérabilités zero-day. La première se trouvait dans le moteur JavaScript de Internet Explorer 11. Elle permettait aux pirates informatiques d’exécuter un code arbitraire à distance. La seconde a été détectée dans le service du système d’exploitation et permettait d’élever les privilèges et de réaliser des actions non autorisées.
Les exploits de ces vulnérabilités fonctionnaient de pair. Tout d’abord, la victime recevait discrètement un script malveillant qu’un trou dans Internet Explorer 11 permettait d’exécuter. Ensuite, une faille dans le service système élevait les privilèges du processus malveillant. Suite à ces actions, les cybercriminels pouvaient enfin prendre le contrôle du système. Leur objectif était de compromettre les ordinateurs de plusieurs employés et de pénétrer dans le réseau interne de l’entreprise.
Nos experts ont surnommé cette campagne malveillante « Operation PowerFall ». Actuellement, les chercheurs n’ont trouvé aucun lien indiscutable entre cette campagne et les acteurs connus. Pourtant, à en juger par la ressemblance des exploits, ils n’excluent pas que DarkHotel puisse être impliqué.
Lorsque nos chercheurs ont fait part de leurs découvertes à Microsoft, l’entreprise a répondu qu’elle connaissait déjà cette seconde vulnérabilité (celle du service système) et qu’elle possédait un correctif. Microsoft considérait qu’il était peu probable que cette faille soit exploitée et ce n’est qu’après que nous lui ayons parlé de la première vulnérabilité (IE11) que l’entreprise a changé d’avis.
Pourquoi la vulnérabilité CVE-2020-1380 est-elle dangereuse ?
La première vulnérabilité se trouve dans la bibliothèque jscript9.dll que toutes les versions Internet Explorer utilisent par défaut depuis IE9. En d’autres termes, l’exploitation de cette vulnérabilité menace toutes les versions modernes du navigateur. « Moderne » n’est peut-être pas le mot le plus adéquat puisque Microsoft a arrêté de développer Internet Explorer après le lancement de Edge avec Windows 10. Pourtant, tout comme Edge, Internet Explorer est encore installé par défaut dans les dernières versions de Windows et ce navigateur reste un composant important du système d’exploitation.
Même si vous n’utilisez pas Internet Explorer de bon cœur et que ce n’est pas votre navigateur par défaut, cela ne signifie pas pour autant qu’un exploit de IE ne peut pas être utilisé pour infecter votre système d’exploitation. De plus, certaines applications s’en servent parfois. Prenons l’exemple de Microsoft Office : le programme se sert de IE pour afficher les vidéos des documents. Les cybercriminels peuvent aussi appeler et exploiter Internet Explorer en utilisant d’autres vulnérabilités.
CVE-2020-1380 appartient au groupe Use-After-Free. La vulnérabilité exploite l’utilisation incorrecte de la mémoire dynamique. Vous trouverez la description technique et détaillée de l’exploit ainsi que les indicateurs de compromission dans l’article publié sur le site Internet de Securelist : « Internet Explorer 11 and Windows 0-day exploits full chain used in Operation PowerFall ».
Comment vous protéger
Microsoft a publié le correctif de la vulnérabilité CVE-2020-0986 (dans le noyau Windows) le 9 juin 2020. La seconde vulnérabilité, CVE-2020-1380, a été corrigée le 11 août. Si vous mettez régulièrement à jour votre système d’exploitation alors vous devriez être protégé contre les attaques Operation PowerFall.
Néanmoins, de nouvelles vulnérabilités zero-day apparaissent tout le temps. Vous devez utiliser une solution équipée de technologies anti-exploit, comme Kaspersky Security for Business, pour protéger votre entreprise. Un de ses composants, le sous-système de prévention des exploits, identifie les tentatives d’exploitation des vulnérabilités zero-day.
De plus, nous vous recommandons d’utiliser des navigateurs modernes qui reçoivent régulièrement des mises à jour de sécurité.