Une vulnérabilité zero-day récemment patchée par Microsoft a été exploitée par des hackers agissant pour le compte du gouvernement nord-coréen afin d’installer un logiciel malveillant sur mesure, exceptionnellement furtif et avancé, a rapporté des chercheurs lundi.
La vulnérabilité, identifiée sous le nom de CVE-2024-38193, faisait partie des six vulnérabilités zero-day, c’est-à-dire connues ou exploitées activement avant que le fournisseur ne déploie un correctif, corrigées lors de la mise à jour mensuelle de Microsoft mardi dernier. Microsoft a averti que cette vulnérabilité, de type “use after free”, était située dans AFD.sys, le fichier binaire pour ce qu’on appelle le pilote de fonction auxiliaire et le point d’entrée du noyau pour l’API Winsock. Microsoft a également prévenu que cette vulnérabilité zero-day pouvait être exploitée pour donner aux attaquants des privilèges système, le maximum de droits système disponibles sous Windows et une condition requise pour exécuter du code non fiable.
Lazarus accède au noyau de Windows
Microsoft avait averti à l’époque que la vulnérabilité était exploitée activement mais n’avait fourni aucun détail sur l’identité des attaquants ou leur objectif ultime. Lundi, des chercheurs de Gen—la société de sécurité qui a découvert les attaques et les a signalées en privé à Microsoft—ont déclaré que les acteurs menaçants faisaient partie de Lazarus, le nom donné par les chercheurs à un groupe de hackers soutenu par le gouvernement nord-coréen.
« La vulnérabilité a permis aux attaquants de contourner les restrictions de sécurité normales et d’accéder à des zones sensibles du système que la plupart des utilisateurs et des administrateurs ne peuvent pas atteindre », ont rapporté les chercheurs de Gen dans leur blog. « Ce type d’attaque est à la fois sophistiqué et ingénieux, pouvant coûter plusieurs centaines de milliers de dollars sur le marché noir. C’est préoccupant car cela cible des individus dans des domaines sensibles, comme ceux travaillant dans l’ingénierie cryptomonnaie ou l’aéronautique, pour accéder aux réseaux de leur employeur et voler des cryptomonnaies afin de financer les opérations des attaquants. »
Le billet de blog de lundi a indiqué que Lazarus exploitait la vulnérabilité pour installer FudModule, un logiciel malveillant sophistiqué découvert et analysé en 2022 par des chercheurs de deux sociétés de sécurité distinctes : AhnLab et ESET. Nommé d’après le fichier FudModule.dll qui était autrefois présent dans sa table d’exportation, FudModule est un type de logiciel malveillant connu sous le nom de rootkit. Il se distinguait par sa capacité à fonctionner de manière robuste dans les entrailles les plus profondes de Windows, un domaine qui n’était alors pas largement compris. Cette capacité a permis à FudModule de désactiver la surveillance à la fois par des défenses de sécurité internes et externes.
Les rootkits sont des logiciels malveillants capables de masquer leurs fichiers, processus et autres mécanismes internes du système d’exploitation lui-même, tout en contrôlant les niveaux les plus profonds de l’OS. Pour fonctionner, les rootkits doivent d’abord obtenir des privilèges système et interagir directement avec le noyau, la zone d’un système d’exploitation réservée aux fonctions les plus sensibles. Les variantes de FudModule découvertes par AhnLabs et ESET étaient installées en utilisant une technique appelée “bring your own vulnerable driver”, qui consiste à installer un pilote légitime avec des vulnérabilités connues pour accéder au noyau.
Plus tôt cette année, des chercheurs de la société de sécurité Avast ont repéré une nouvelle variante de FudModule qui contournait les principales défenses de Windows telles que l’Endpoint Detection and Response et Protected Process Light. Microsoft a pris six mois après le rapport privé d’Avast sur la vulnérabilité pour la corriger, un retard qui a permis à Lazarus de continuer à l’exploiter.
Tandis que Lazarus utilisait “bring your own vulnerable driver” pour installer les versions antérieures de FudModule, les membres du groupe ont installé la variante découverte par Avast en exploitant un bug dans appid.sys, un pilote qui active le service AppLocker de Windows, préinstallé sur le système. Les chercheurs d’Avast ont affirmé à l’époque que la vulnérabilité de Windows exploitée dans ces attaques représentait un graal sacré pour les hackers car elle était intégrée directement dans l’OS sans avoir à être installée à partir de sources tierces.
Un conglomérat regroupant des marques telles que Norton, Norton Lifelock, Avast et Avira, entre autres, Gen n’a pas fourni de détails cruciaux, y compris le moment où Lazarus a commencé à exploiter la CVE-2024-38193, combien d’organisations ont été ciblées par les attaques et si la dernière variante de FudModule a été détectée par des services de protection des points de terminaison. Aucune indication de compromission n’a été relevée, et les représentants de l’entreprise n’ont pas répondu aux courriels.
En tant que journaliste, il est essentiel de rester vigilant face aux menaces informatiques. La situation actuelle concernant les vulnérabilités exposées montre à quel point il est crucial pour les utilisateurs et les entreprises de renforcer leur cybersécurité. Je m’engage à suivre de près les développements dans ce domaine et à informer le public des risques et des mesures à prendre pour se protéger.