CISA a ordonné aux agences de l’Exécutif civil fédéral américain (FCEB) de sécuriser leurs systèmes Windows contre une vulnérabilité de gravité élevée dans le service de streaming Microsoft (MSKSSRV.SYS) qui est activement exploité dans les attaques.
La faille de sécurité (identifiée comme CVE-2023-29360) est due à une faiblesse de déréférencement de pointeur non fiable qui permet aux attaquants locaux d’obtenir des privilèges SYSTÈME lors d’attaques de faible complexité qui ne nécessitent aucune interaction de l’utilisateur.
CVE-2023-29360 a été trouvé par Thomas Imbert de Synactiv dans le Proxy du service de streaming Microsoft (MSKSSRV.SYS) et signalé à Microsoft via l’initiative Zero Day de Trend Micro. Redmond a corrigé le bogue lors du Patch Tuesday de juin 2023, avec un code d’exploit de validation de principe tombant sur GitHub trois mois plus tard, le 24 septembre.
L’agence américaine de cybersécurité n’a pas fourni de détails sur les attaques en cours, mais elle a confirmé qu’aucune preuve n’avait été trouvée que cette vulnérabilité avait été utilisée dans des attaques par ransomware.
CISA a également ajouté le bogue à son Catalogue de vulnérabilités exploitées connues cette semaine, avertissant que de tels bogues de sécurité sont « des vecteurs d’attaque fréquents pour les cyberacteurs malveillants et posent des risques importants pour l’entreprise fédérale. »Comme l’exige une directive opérationnelle contraignante (BOD 22-01) publiée en novembre 2021, les agences fédérales doivent corriger leurs systèmes Windows contre ce bogue de sécurité dans les trois semaines, d’ici le 21 mars.
Bien que le catalogue KEV de CISA se concentre principalement sur l’alerte des agences fédérales sur les failles de sécurité qui doivent être corrigées dès que possible, il est également conseillé aux organisations privées du monde entier de prioriser la correction de cette vulnérabilité pour bloquer les attaques en cours.
Exploité dans des attaques de logiciels malveillants depuis août
La société de cybersécurité américano-israélienne Check Point a fourni plus d’informations sur cette vulnérabilité le mois dernier, affirmant que les attaques de logiciels malveillants Raspberry Robin exploitaient CVE-2023-29360 depuis août 2023.
« Après avoir examiné des échantillons de Raspberry Robin avant octobre, nous avons constaté qu’il utilisait également un exploit pour CVE-2023-29360. Cette vulnérabilité a été divulguée publiquement en juin et a été utilisée par Raspberry Robin en août », a déclaré Check Point.
« Même s’il s’agit d’une vulnérabilité assez facile à exploiter, le fait que l’auteur de l’exploit disposait d’un échantillon fonctionnel avant qu’il n’y ait un exploit connu sur GitHub est impressionnant, tout comme la rapidité avec laquelle Raspberry Robin l’a utilisé. »
Raspberry Robin est un malware doté de capacités de ver qui est apparu en septembre 2021 et se propage principalement via des clés USB. Bien que ses créateurs soient inconnus, il a été lié à plusieurs groupes cybercriminels, dont Evil Corp et le gang de ransomwares Clop.
Microsoft a déclaré en juillet 2022 qu’il avait repéré le malware Raspberry Robin sur les réseaux de centaines d’organisations de divers secteurs industriels.
Depuis sa découverte, ce ver n’a cessé d’évoluer, adoptant de nouvelles tactiques de livraison et ajoutant de nouvelles fonctionnalités, y compris une évasion où il dépose de fausses charges utiles pour induire les chercheurs en erreur.