L’opération de ransomware Black Basta est soupçonnée d’exploiter une vulnérabilité d’escalade de privilèges Windows (CVE-2024-26169) comme un jour zéro avant qu’un correctif ne soit mis à disposition.

La faille est un problème de gravité élevée (CVSS v3. 1: 7.8) dans le service de rapport d’erreurs Windows, permettant aux attaquants d’élever leurs privilèges au niveau du SYSTÈME.

Microsoft a corrigé la faille le 12 mars 2024, via ses mises à jour mensuelles du Patch Tuesday, alors que son statut sur la page du fournisseur ne montre aucune exploitation active.

Un rapport de Symantec indique que CVE-2024-26169 a été activement exploité par le Cardinal cybercrime group (Storm-1811, UNC4394), les opérateurs du gang Black Basta, notant qu’il y a de fortes chances qu’il ait été exploité comme un jour zéro.

Exploitation de CVE-2024-26169
Symantec a enquêté sur une tentative d’attaque par ransomware au cours de laquelle un outil d’exploitation pour CVE-2024-26169 a été déployé à la suite d’une infection initiale par le chargeur DarkGate, que Black Basta utilise depuis le retrait de QakBot.

Les analystes pensent que les attaquants sont liés à Black Basta parce qu’ils ont utilisé des scripts batch qui se font passer pour des mises à jour logicielles conçues pour exécuter des commandes malveillantes et établir la persistance sur des systèmes compromis, une tactique courante pour ce groupe.

L’outil d’exploit observé a tiré parti du fait que le fichier Windows werkernel.sys utilise un descripteur de sécurité null lors de la création des clés de registre.

L’outil exploite cela pour créer une clé de registre(HKLM \ Software \ Microsoft\Windows NT \ CurrentVersion\Options d’exécution du fichier image \ WerFault.exe) et définit la valeur « Débogueur » sur son propre chemin d’exécution, lui permettant de lancer un shell avec des privilèges SYSTÈME.

Vous trouverez ci-dessous une démonstration de Breachtrace testant l’exploit sur un appareil Windows 11 sur lequel seules les mises à jour de sécurité Windows de février sont installées, avant que Microsoft ne corrige la faille en mars.

Démonstration de l’exploit CVE-2024-26169 utilisé par Black Basta

Un aspect fascinant des conclusions de Symantec est qu’une variante de l’outil d’exploit a un horodatage de compilation daté du 27 février 2024, tandis qu’un deuxième échantillon a été construit encore plus tôt, le 18 décembre 2023.

Cela signifie que Black Basta disposait d’un outil d’exploitation fonctionnel entre 14 et 85 jours avant que Microsoft ne propose finalement un correctif pour le problème d’élévation des privilèges.

Bien que les horodatages des exécutables portables puissent être modifiés, comme Symantec l’admet, ce qui rend la conclusion non concluante quant à savoir si une exploitation zero-day s’est produite, il semble que les attaquants soient peu motivés à falsifier les horodatages, ce scénario est donc peu probable.

Black Basta, une opération de ransomware qui serait liée au syndicat de la cybercriminalité Conti, aujourd’hui disparu, a déjà démontré une expertise dans l’abus des outils Windows et une compréhension approfondie de la plate-forme.

Un avis de mai 2024 de la CISA et du FBI a mis en évidence l’activité à volume élevé de Black Basta, tenant ses affiliés responsables de 500 violations depuis avril 2022, date de son lancement.

La société d’analyse de blockchain Elliptic a rapporté en novembre 2023 que l’opération de ransomware avait effectué plus de 100 millions de dollars de paiements de rançon.

Pour atténuer l’utilisation de cette vulnérabilité par Black Basta, il est essentiel d’appliquer la dernière mise à jour de sécurité Windows et de suivre les directives partagées par CISA.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *