La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté une vulnérabilité Windows de haute gravité exploitée lors d’attaques par ransomware en tant que jour zéro à son catalogue de bogues de sécurité activement exploités.

Répertorié comme CVE-2024-26169, cette faille de sécurité est causée par une faiblesse de gestion des privilèges incorrecte dans le service de rapport d’erreurs Windows. Une exploitation réussie permet aux attaquants locaux d’obtenir des autorisations SYSTÈME lors d’attaques de faible complexité qui ne nécessitent aucune interaction de l’utilisateur.

Microsoft a corrigé la vulnérabilité le 12 mars 2024 lors de ses mises à jour mensuelles du Patch Tuesday. Cependant, l’entreprise n’a pas encore mis à jour son avis de sécurité pour marquer la vulnérabilité comme exploitée dans des attaques.

Comme l’a révélé un rapport publié plus tôt cette semaine, les chercheurs en sécurité de Symantec ont trouvé des preuves que les opérateurs du gang de ransomwares Black Basta (le Cardinal cybercrime group, également connu sous le nom de UNC4394 et Storm-1811) étaient probablement à l’origine d’attaques abusant de la faille en tant que zero-day.

Ils ont découvert qu’une variante de l’outil d’exploitation CVE-2024-26169 déployée dans ces attaques avait un horodatage de compilation du 27 février, tandis qu’un deuxième échantillon a été construit encore plus tôt, le 18 décembre 2023.

Comme Symantec l’a admis dans son rapport, ces horodatages peuvent facilement être modifiés, ce qui rend leurs résultats d’exploitation du jour zéro non concluants. Cependant, il y a peu ou pas de motivation pour les attaquants de le faire, ce qui rend ce scénario improbable.

Cela suggère que le groupe de ransomwares a eu un exploit fonctionnel entre 14 et 85 jours avant que Microsoft ne publie des mises à jour de sécurité pour corriger la faille d’élévation de privilèges locale.

DÉMO DE L’EXPLOIT BLACK BASTA CVE-2024-26169

​Trois semaines pour sécuriser les systèmes vulnérables
Les agences de l’Exécutif Civil Fédéral (FCEB) doivent sécuriser leurs systèmes contre toutes les vulnérabilités ajoutées au catalogue de Vulnérabilités exploitées connues de la CISA, selon une directive opérationnelle contraignante de novembre 2021 (BOD 22-01).

Jeudi, la CISA a donné aux agences FCEB trois semaines, jusqu’au 4 juillet, pour corriger la sécurité CVE-2024-26169 et contrecarrer les attaques de ransomware qui pourraient cibler leurs réseaux.

Bien que la directive ne s’applique qu’aux agences fédérales, l’agence de cybersécurité a également vivement exhorté toutes les organisations à donner la priorité à la correction de la faille, avertissant que « Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyberacteurs malveillants et présentent des risques importants pour l’entreprise fédérale. »

Black Basta est apparu comme une opération de Ransomware en tant que service (RaaS) il y a deux ans, en avril 2022, après la scission du gang de cybercriminalité Conti en plusieurs factions à la suite d’une série de violations de données embarrassantes.

Depuis lors, le gang a violé de nombreuses victimes de premier plan, notamment l’entrepreneur allemand de la défense Rheinmetall, la société britannique d’externalisation technologique Capita, la Bibliothèque publique de Toronto, l’American Dental Association, l’entrepreneur gouvernemental ABB, la division européenne de Hyundai, Pages Jaunes Canada et le géant américain de la santé Ascension.

CISA et le FBI ont révélé que les affiliés du ransomware Black Basta avaient piraté plus de 500 organisations jusqu’en mai 2024, cryptant des systèmes et volant des données d’au moins 12 secteurs d’infrastructures critiques aux États-Unis.

Selon une étude de la société d’assurance Corvus et de cybersécurité Elliptic, Black Basta a collecté au moins 100 millions de dollars de rançons auprès de plus de 90 victimes jusqu’en novembre 2023.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *