MysterySnail: Kaspersky découvre un exploit Zero-Day dans le système d’exploitation Windows

MysterySnail: Kaspersky découvre un exploit Zero-Day dans le système d’exploitation Windows

À la fin de l'été 2021, les solutions de détection automatique de Kaspersky ont
empêché une série d'attaques utilisant un exploit portant sur l’élévation de privilèges
via plusieurs serveurs Microsoft Windows. Après une analyse plus approfondie de
l'attaque, les chercheurs de Kaspersky ont découvert un nouvel exploit Zero-Day.
Au cours du premier semestre 2021, les experts Kaspersky ont observé une augmentation
des attaques utilisant des vulnérabilités Zero-Day. Une vulnérabilité de type "Zero-Day" est
un bug logiciel inconnu découvert par des hackers pour lequel aucun correctif n’a été mis en
place.
Les solutions de Kaspersky ont détecté une série d'attaques utilisant un exploit via
l’élévation de privilèges sur plusieurs serveurs Microsoft Windows. Cet exploit comportait de
nombreuses chaînes de débogage provenant d'un exploit plus ancien et publiquement
connu pour la vulnérabilité CVE-2016-3309. Cependant, une analyse plus approfondie
révèle que les chercheurs de Kaspersky ont découvert un nouvel exploit Zero-Day. Ils l’ont
nommé MysterySnail.
La similitude du code découvert avec l'infrastructure de commande et de contrôle (C&C) et
sa réutilisation ont permis aux chercheurs de relier ces attaques au tristement célèbre
groupe de hackers IronHusky et à ses activités APT perpétrées en mandarin en 2012.
En analysant le malware utilisé avec l'exploit Zero-Day, les chercheurs de Kaspersky ont
découvert que des variantes de celui-ci ont été utilisées dans des campagnes d'espionnage
à grande échelle contre des sociétés informatiques, des organisations militaires et de
défense ainsi que des entités diplomatiques.
La vulnérabilité a été signalée à Microsoft et corrigée le 12 octobre 2021, dans le cadre de
l'October Patch Tuesday.
Les produits Kaspersky détectent et protègent contre l'exploitation de la vulnérabilité
mentionnée ci-dessus et les modules malveillants associés.
« Au cours des dernières années, nous avons observé une tendance constante de la part
des attaquants qui tentent de trouver des exploits Zero-Day. Ces vulnérabilités, jusqu'alors
inconnues des éditeurs, peuvent constituer une menace sérieuse pour les organisations.
Cependant, la plupart d'entre elles partagent des caractéristiques similaires. C'est pourquoi il
est important de s'appuyer sur les dernières informations sur les menaces et d'installer des
solutions de sécurité qui détectent de manière proactive les menaces inconnues »

commente Boris Larin, security expert, Kaspersky Global Research and Analysis Team
(GReAT).
Apprenez-en plus sur cette faille Zero-Day sur Securelist.
Pour protéger votre organisation contre les attaques exploitant les vulnérabilités
susmentionnées, les experts de Kaspersky recommandent :
 Mettez à jour le système d'exploitation Microsoft Windows et les autres logiciels tiers
dès que possible et faites-le régulièrement.
 Utilisez une solution de sécurité des endpoints fiable, telle que Kaspersky Endpoint
Security for Business, qui permet de prévenir les exploits, de détecter les
comportements et dispose d’un moteur de remédiation capable d'annuler les actions
malveillantes.
 Installez des solutions anti-APT et EDR, permettant de découvrir et de détecter les
menaces, d'enquêter et de remédier rapidement aux incidents. Fournissez à votre
équipe SOC un accès aux dernières informations sur les menaces et formez-la
régulièrement. Tout cela est possible via Kaspersky Expert Security.
 En plus d'une protection appropriée des endpoints, des services dédiés peuvent
vous aider à lutter contre les attaques de grande envergure. Kaspersky Managed
Detection and Response permet d'identifier et de stopper les attaques à un stade
précoce, avant que les attaquants ne parviennent à leurs fins.

Votre commentaire