0-days vendus par une entreprise autrichienne utilisés pour pirater les utilisateurs de Windows, selon Microsoft

Microsoft a déclaré mercredi qu’une société autrichienne nommée DSIRF avait utilisé plusieurs jours zéro Windows et Adobe Reader pour pirater des organisations situées en Europe et en Amérique centrale.

Plusieurs organes de presse ont publié des articles comme celui-ci, qui citent des documents marketing et d’autres preuves liant DSIRF à Subzero, un ensemble d’outils malveillants pour “l’exfiltration automatisée de données sensibles/privées” et “des opérations d’accès sur mesure”. [including] identification, suivi et infiltration des menaces.

Les membres du Microsoft Threat Intelligence Center, ou MSTIC, ont déclaré avoir trouvé des infections de logiciels malveillants Subzero propagées par diverses méthodes, y compris l’exploitation de ce qui était à l’époque des zéro-jours Windows et Adobe Reader, ce qui signifie que les attaquants connaissaient les vulnérabilités avant. Microsoft et Adobe l’ont fait. Les cibles des attaques observées à ce jour comprennent des cabinets d’avocats, des banques et des cabinets de conseil en stratégie dans des pays tels que l’Autriche, le Royaume-Uni et le Panama, bien que ce ne soient pas nécessairement les pays dans lesquels résidaient les clients du DSIRF qui ont payé pour l’attaque.

“MSTIC a trouvé plusieurs liens entre DSIRF et les exploits et logiciels malveillants utilisés dans ces attaques”, ont écrit les chercheurs de Microsoft. “Il s’agit notamment de l’infrastructure de commande et de contrôle utilisée par le logiciel malveillant directement lié à DSIRF, d’un compte GitHub associé à DSIRF utilisé dans une attaque, d’un certificat de signature de code délivré à DSIRF utilisé pour signer un exploit et d’autres reportages open source. attribuant Subzero à DSIRF.

Microsoft

Un e-mail envoyé à DSIRF sollicitant un commentaire n’a pas été renvoyé.

Publicité

Le message de mercredi est le dernier à s’attaquer au fléau des logiciels espions mercenaires vendus par des sociétés privées. Le groupe NSO, basé en Israël, est l’exemple le plus connu d’une entreprise à but lucratif vendant des exploits coûteux qui compromettent souvent les appareils appartenant à des journalistes, des avocats et des militants. Un autre mercenaire basé en Israël nommé Candiru a été présenté par Microsoft et le Citizen Lab de l’Université de Toronto l’année dernière et a récemment été surpris en train d’orchestrer des campagnes de phishing au nom de clients qui pourraient contourner l’authentification à deux facteurs.

Mercredi également, la commission spéciale permanente sur le renseignement de la Chambre des représentants des États-Unis a tenu une audition sur la prolifération des logiciels espions commerciaux étrangers. L’un des orateurs était la fille d’un ancien directeur d’hôtel au Rwanda qui a été emprisonné après avoir sauvé des centaines de vies et dénoncé le génocide qui avait eu lieu. Elle a raconté l’expérience de s’être fait pirater son téléphone avec un logiciel espion NSO le jour même où elle a rencontré le ministre belge des Affaires étrangères.

Se référant à DSIRF en utilisant le travail KNOTWEED, les chercheurs de Microsoft ont écrit :

En mai 2022, MSTIC a découvert une exécution de code à distance (RCE) d’Adobe Reader et une chaîne d’exploitation d’escalade de privilèges Windows de 0 jour utilisée dans une attaque qui a conduit au déploiement de Subzero. Les exploits ont été regroupés dans un document PDF qui a été envoyé à la victime par e-mail. Microsoft n’a pas été en mesure d’acquérir la partie PDF ou Adobe Reader RCE de la chaîne d’exploit, mais la version d’Adobe Reader de la victime a été publiée en janvier 2022, ce qui signifie que l’exploit utilisé était soit un exploit d’un jour développé entre janvier et mai, soit un Exploit 0-day. Sur la base de l’utilisation intensive par KNOTWEED d’autres 0-days, nous évaluons avec une confiance moyenne qu’Adobe Reader RCE est un exploit 0-day. L’exploit Windows a été analysé par MSRC, s’est avéré être un exploit 0-day, puis corrigé en juillet 2022 en tant que CVE-2022-22047. Fait intéressant, il y avait des indications dans le code d’exploitation Windows qu’il a également été conçu pour être utilisé à partir de navigateurs basés sur Chromium, bien que nous n’ayons vu aucune preuve d’attaques basées sur le navigateur.

La vulnérabilité CVE-2022-22047 est liée à un problème de mise en cache du contexte d’activation dans le sous-système d’exécution du serveur client (CSRSS) sous Windows. À un niveau élevé, la vulnérabilité pourrait permettre à un attaquant de fournir un manifeste d’assembly spécialement conçu, qui créerait un contexte d’activation malveillant dans le cache de contexte d’activation, pour un processus arbitraire. Ce contexte mis en cache est utilisé la prochaine fois que le processus est généré.

CVE-2022-22047 a été utilisé dans des attaques liées à KNOTWEED pour l’élévation de privilèges. La vulnérabilité a également permis d’échapper aux bacs à sable (avec quelques mises en garde, comme indiqué ci-dessous) et d’exécuter du code au niveau du système. La chaîne d’exploitation commence par l’écriture d’une DLL malveillante sur le disque à partir du processus de rendu d’Adobe Reader en bac à sable. L’exploit CVE-2022-22047 a ensuite été utilisé pour cibler un processus système en fournissant un manifeste d’application avec un attribut non documenté qui spécifiait le chemin de la DLL malveillante. Ensuite, lors de la prochaine apparition du processus système, l’attribut dans le contexte d’activation malveillant a été utilisé, la DLL malveillante a été chargée à partir du chemin donné et l’exécution du code au niveau du système a été réalisée.

Le message de mercredi fournit également des indicateurs détaillés de compromission que les lecteurs peuvent utiliser pour déterminer s’ils ont été ciblés par le DSIRF.

Publicité

Microsoft a utilisé le terme PSOA – abréviation d’acteur offensif du secteur privé – pour décrire les cybermercenaires comme DSIRF. La société a déclaré que la plupart des PSOA fonctionnent selon l’un ou les deux modèles. Le premier, l’accès en tant que service, vend des outils de piratage complets de bout en bout aux clients pour une utilisation dans leurs propres opérations. Dans l’autre modèle, hack-for-hire, le PSOA réalise lui-même les opérations ciblées.

“Sur la base des attaques observées et des reportages, MSTIC pense que KNOTWEED peut mélanger ces modèles : ils vendent le malware Subzero à des tiers, mais ont également été observés en utilisant l’infrastructure associée à KNOTWEED dans certaines attaques, suggérant une implication plus directe”, ont écrit les chercheurs de Microsoft.

commentaires

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Le plus populaire