0 jours vendus par une société autrichienne utilisés pour pirater les utilisateurs de Windows, selon Microsoft

Microsoft a déclaré mercredi qu’une société autrichienne appelée DSIRF avait utilisé plusieurs jours zéro de Windows et d’Adobe Reader pour pirater des organisations en Europe et en Amérique centrale.

Plusieurs organes de presse ont publié des articles comme celui-ci citant des supports marketing et d’autres preuves liant DSIRF à Subzero, un ensemble d’outils malveillants pour “l’exfiltration automatisée de données sensibles/privées” et des “opérations d’accès personnalisées”. [including] identification, suivi et infiltration des menaces.

Des membres du Microsoft Threat Intelligence Center, ou MSTIC, ont déclaré avoir découvert que les infections par des logiciels malveillants avec Subzero se propageaient par diverses méthodes, y compris l’exploitation de ce qui était alors le jour zéro de Windows et d’Adobe Reader, ce qui signifie que les attaquants étaient auparavant au courant de la vulnérabilités. Microsoft et Adobe l’ont fait. Les cibles des attaques observées jusqu’à présent comprennent des cabinets d’avocats, des banques et des cabinets de conseil en stratégie dans des pays tels que l’Autriche, le Royaume-Uni et le Panama, bien que ce ne soient pas nécessairement les pays où vivaient les clients du DSIRF qui ont payé pour l’attaque.

“MSTIC a trouvé plusieurs liens entre DSIRF et les exploits et logiciels malveillants utilisés dans ces attaques”, ont écrit les chercheurs de Microsoft. Ceux-ci incluent l’infrastructure de commande et de contrôle utilisée par le logiciel malveillant qui se connecte directement à DSIRF, un compte GitHub associé à DSIRF utilisé dans une seule attaque, un certificat de signature de code délivré à DSIRF qui est utilisé pour exploiter et attribuer d’autres nouvelles open source rapporte Subzero au DSIRF.

Microsoft

Un e-mail envoyé à DSIRF demandant un commentaire n’a pas été renvoyé.

Le billet de mercredi est le dernier à s’attaquer au fléau des logiciels espions de location vendus par des sociétés privées. Le groupe NSO, basé en Israël, est l’exemple le plus connu d’une entreprise à but lucratif vendant des exploits coûteux qui compromettent souvent les appareils des journalistes, des avocats et des militants. Un autre mercenaire basé en Israël nommé Candiru a été présenté l’année dernière par Microsoft et le Citizen Lab de l’Université de Toronto et a récemment été surpris en train d’orchestrer des campagnes de phishing au nom de clients qui ont pu contourner l’authentification à deux facteurs.

Mercredi également, la commission spéciale permanente sur le renseignement de la Chambre des représentants des États-Unis a tenu une audience sur la distribution de logiciels espions commerciaux étrangers. L’un des orateurs était la fille d’un ancien directeur d’hôtel au Rwanda qui a été emprisonné après avoir sauvé des centaines de vies et dénoncé le génocide qui avait eu lieu. Elle a raconté l’expérience que son téléphone a été piraté avec un logiciel espion NSO le jour même où elle a rencontré le ministre belge des Affaires étrangères.

Se référant à DSIRF en utilisant le travail KNOTWEED, les chercheurs de Microsoft ont écrit :

En mai 2022, MSTIC a découvert une exécution de code à distance Adobe Reader (RCE) et une chaîne d’exploitation d’escalade de privilèges Windows de 0 jour utilisée dans une attaque qui a conduit au déploiement de Subzero. Les exploits ont été regroupés dans un document PDF qui a été envoyé par e-mail à la victime. Microsoft n’a pas pu mettre la main sur la partie PDF ou Adobe Reader RCE de la chaîne d’exploitation, mais la version d’Adobe Reader de la victime a été publiée en janvier 2022, ce qui signifie que l’exploitation utilisée était soit une exploitation d’une journée développée entre janvier et mai, soit un exploit de 0 jour. Sur la base de l’utilisation intensive par KNOTWEED d’autres 0-days, nous estimons avec une confiance moyenne qu’Adobe Reader RCE est un exploit 0-day. L’exploit Windows a été analysé par MSRC, s’est avéré être un exploit 0-day, puis corrigé en tant que CVE-2022-22047 en juillet 2022. Fait intéressant, il y avait des preuves dans le code d’exploitation Windows qu’il était également conçu pour être utilisé par les navigateurs basés sur Chromium, bien que nous n’ayons vu aucune preuve d’attaques basées sur le navigateur.

La vulnérabilité CVE-2022-22047 est liée à un problème de mise en cache du contexte d’activation dans le sous-système d’exécution du serveur client (CSRSS) sous Windows. À un niveau élevé, la vulnérabilité pourrait permettre à un attaquant de fournir un manifeste d’assemblage spécialement conçu, qui créerait un contexte d’activation malveillant dans le cache de contexte d’activation, à n’importe quel processus. Ce contexte mis en cache sera utilisé au prochain démarrage du processus.

CVE-2022-22047 a été utilisé dans des attaques d’élévation de privilèges liées à KNOTWEED. La vulnérabilité a également permis d’échapper aux bacs à sable (avec quelques mises en garde, comme indiqué ci-dessous) et d’exécuter du code au niveau du système. La chaîne d’exploitation commence à écrire une DLL malveillante sur le disque à partir du processus de rendu du bac à sable d’Adobe Reader. L’exploit CVE-2022-22047 a ensuite été utilisé pour attaquer un processus système en fournissant un manifeste d’application avec un attribut non documenté spécifiant le chemin de la DLL malveillante. Ensuite, lorsque le processus système est apparu, l’attribut a été utilisé dans le contexte d’activation malveillant, la DLL malveillante a été chargée à partir du chemin spécifié et l’exécution du code au niveau du système a été réalisée.

Le message de mercredi fournit également des indicateurs détaillés de compromis que les lecteurs peuvent utiliser pour déterminer s’ils sont ciblés par DSIRF.

Microsoft a utilisé le terme PSOA – abréviation d’acteur attaquant du secteur privé – pour décrire les cybermercenaires tels que DSIRF. La société a déclaré que la plupart des PSOA fonctionnent selon l’un ou les deux modèles. Le premier, l’accès en tant que service, vend des outils de piratage complets de bout en bout aux clients pour une utilisation dans leurs propres opérations. Dans l’autre modèle, hack-for-hire, le PSOA réalise lui-même les opérations ciblées.

“Sur la base des attaques observées et des reportages, MSTIC pense que KNOTWEED peut mélanger ces modèles : ils vendent le malware Subzero à des tiers, mais il a également été observé qu’ils utilisent l’infrastructure liée à KNOTWEED dans certaines attaques, indiquant une implication plus directe des chercheurs de Microsoft. a écrit.

Leave a Reply

Your email address will not be published.