Au moins 11 groupes de piratage soutenus par des États de Corée du Nord, d’Iran, de Russie et de Chine exploitent une nouvelle vulnérabilité Windows dans le vol de données et les attaques zero-day de cyberespionnage depuis 2017.
Cependant, comme l’ont rapporté aujourd’hui les chercheurs en sécurité Peter Girnus et Aliakbar Zahravi de la Zero Day Initiative (ZDI) de Trend Micro, Microsoft l’a étiqueté comme « ne respectant pas le bar servicing » fin septembre et a déclaré qu’il ne publierait pas de mises à jour de sécurité pour y remédier.
« Nous avons découvert près d’un millier de Shell Link (.lnk) des échantillons qui exploitent ZDI-CAN-25373; cependant, il est probable que le nombre total de tentatives d’exploitation soit beaucoup plus élevé », ont-ils déclaré. « Par la suite, nous avons soumis un exploit de validation de principe via le programme de primes de bogues de Trend ZDI à Microsoft, qui a refusé de résoudre cette vulnérabilité avec un correctif de sécurité. »
Un porte-parole de Microsoft n’était pas immédiatement disponible pour commenter lorsqu’il a été contacté par Breachtrace plus tôt dans la journée.
Bien que Microsoft n’ait pas encore attribué d’identifiant CVE à cette vulnérabilité, Trend Micro la suit en interne sous le nom de ZDI-CAN-25373 et a déclaré qu’elle permettait aux attaquants d’exécuter du code arbitraire sur les systèmes Windows affectés.
Comme les chercheurs l’ont découvert en enquêtant sur l’exploitation sauvage de ZDI-CAN-25373, la faille de sécurité a été exploitée dans des attaques généralisées par de nombreux groupes de menaces parrainés par l’État et des gangs de cybercriminalité, notamment Evil Corp, APT43 (Kimsuky), Bitter, APT37, Mustang Panda, SideWinder, RedHotel, Konni et d’autres.
Bien que les campagnes aient ciblé des victimes dans le monde entier, elles se sont principalement concentrées sur l’Amérique du Nord, l’Amérique du Sud, l’Europe, l’Asie de l’Est et l’Australie. Sur l’ensemble des attaques analysées, près de 70% étaient liées à l’espionnage et au vol d’informations, tandis que le gain financier n’était au centre que de 20%.
»Diverses charges utiles et chargeurs de logiciels malveillants tels que Ursnif, Gh0st RAT et Trickbot ont été suivis dans ces campagnes, les plates-formes MaaS (malware-as-a-service) compliquant le paysage des menaces », a ajouté Trend Micro.
Le jour zéro des fenêtres ZDI-CAN-25373
Le jour zéro de Windows, suivi sous le nom de ZDI-CAN-25373, est causé par une faiblesse de Fausse représentation des informations critiques de l’interface utilisateur (UI) (CWE-451), qui permet aux attaquants d’exploiter la façon dont Windows affiche le raccourci (.fichiers lnk) pour échapper à la détection et exécuter du code sur des périphériques vulnérables à l’insu de l’utilisateur.
Les acteurs de la menace exploitent ZDI-CAN-25373 en cachant des arguments de ligne de commande malveillants à l’intérieur .Fichiers de raccourcis LNK utilisant des espaces blancs rembourrés ajoutés à la structure COMMAND_LINE_ARGUMENTS.
Les chercheurs disent que ces espaces peuvent être sous la forme de codes hexadécimaux pour l’espace (\x20), la Tabulation horizontale (\x09), le Saut de ligne (\x0A), la Tabulation verticale (\x0B), le saut de formulaire (\x0C) et le Retour chariot (\x0D) qui peut être utilisé comme remplissage.
Si un utilisateur Windows inspecte un tel .fichier lnk, les arguments malveillants ne sont pas affichés dans l’interface utilisateur Windows en raison des espaces ajoutés. Par conséquent, les arguments de ligne de commande ajoutés par les attaquants restent cachés à la vue de l’utilisateur.
« L’interaction de l’utilisateur est nécessaire pour exploiter cette vulnérabilité dans la mesure où la cible doit visiter une page malveillante ou ouvrir un fichier malveillant », explique un avis de Trend Micro publié aujourd’hui.
« Données fabriquées dans un .Le fichier LNK peut rendre invisible le contenu dangereux du fichier pour un utilisateur qui inspecte le fichier via l’interface utilisateur fournie par Windows. Un attaquant peut exploiter cette vulnérabilité pour exécuter du code dans le contexte de l’utilisateur actuel. »
Cette vulnérabilité est similaire à une autre faille répertoriée sous le nom de CVE-2024-43461 qui permettait aux auteurs de menaces d’utiliser 26 caractères d’espacement braille codés (%E2%A0%80) pour camoufler les fichiers HTA qui peuvent télécharger des charges utiles malveillantes sous forme de PDF. CVE-2024-43461 a été découvert par Peter Girnus, chercheur principal en menaces chez Zero Day de Trend Micro, et corrigé par Microsoft lors du Patch Tuesday de septembre 2024.
Le groupe de piratage APT Void Banshee a exploité CVE-2024-43461 lors d’attaques zero-day pour déployer des logiciels malveillants de vol d’informations dans des campagnes contre des organisations en Amérique du Nord, en Europe et en Asie du Sud-Est.