Crédit : Dreamstime
Microsoft a publié cette semaine son bulletin de sécurité mensuel, couvrant les correctifs de plus de 80 vulnérabilités de ses produits. Cependant, deux d’entre eux avaient déjà été utilisés par des attaquants avant la publication des correctifs.
Une vulnérabilité affecte toutes les versions prises en charge d’Outlook pour Windows et permet aux attaquants de voler les hachages Net-NTLMv2, puis de les utiliser dans les attaques de relais NTLM (New Technology LAN Manager) contre d’autres systèmes. La seconde permet aux attaquants de contourner Microsoft SmartScreen, une technologie intégrée à Windows qui effectue des vérifications sur les fichiers téléchargés sur Internet via les navigateurs.
Faille de vol de hachage NTLM exploitée par l’APT sponsorisé par l’État russe
La vulnérabilité Outlook, identifiée comme CVE-2023-23397, est décrit par Microsoft comme une élévation de privilèges et est classé critique (9,8 sur 10 sur l’échelle CVSS). Contrairement aux vulnérabilités d’exécution de code à distance, les vulnérabilités EoP sont rarement critiques car elles ne peuvent généralement pas être exploitées à distance et l’attaquant doit déjà disposer de privilèges inférieurs sur le système.
Cependant, cette faille peut être exploitée par des attaquants distants sans trop d’effort. Selon la description de Microsoft, « l’attaquant pourrait exploiter cette vulnérabilité en envoyant un e-mail spécialement conçu qui se déclenche automatiquement lorsqu’il est récupéré et traité par le client Outlook ». Pire encore, l’e-mail n’a pas besoin d’être ouvert, cliqué ou prévisualisé par l’utilisateur – il suffit simplement de le recevoir, car la faille se situe dans le code d’Outlook pour le traiter à l’arrivée.
Plus précisément, un attaquant créerait le message avec une propriété MAPI (Messaging Application Programming Interface) étendue qui contient un chemin UNC vers un partage SMB distant (TCP 445) hébergé sur un serveur contrôlé par l’attaquant. Server Message Block (SMB) est un protocole de partage de fichiers, de réseau et d’imprimante largement utilisé dans les réseaux Windows qui prend également en charge la communication inter-processus.
L’authentification utilisée avec SMB est NTLM et chaque fois qu’un ordinateur Windows tente d’accéder à une ressource distante via SMB, il enverra son hachage NTLM, une représentation cryptographique de ses informations d’identification qui sert de jeton d’authentification. Le vol de hachages NTLM permet un type d’attaque appelé relais NTLM ou pass-the-hash, où un attaquant trompe un ordinateur pour envoyer son hachage, puis le transmet à un autre service légitime qui accepterait cette authentification.
L’équipe ukrainienne, Microsoft a découvert la vulnérabilité< /h2>
Microsoft remercie le CERT-UA, l’équipe d’intervention d’urgence informatique du gouvernement ukrainien, ainsi que sa propre équipe Microsoft Incident Response et Microsoft Threat Intelligence d’avoir signalé cette vulnérabilité. L’entreprise a déclaré qu’un acteur menaçant basé en Russie a exploité cette vulnérabilité dans des attaques ciblées contre des organisations gouvernementales, de transport, d’énergie et militaires en Europe. Selon les rapports, cet acteur menaçant est STRONTIUM, également connu dans le secteur de la sécurité sous le nom de Fancy Bear ou APT28. Le gouvernement US a officiellement attribué l’activité de Fancy Bear à une unité appelée Unit 26165 au sein de l’agence de renseignement militaire russe, le GRU.
En plus de corriger leurs clients Outlook sur les systèmes Windows, les entreprises peuvent également bloquer le trafic sortant de leurs réseaux sur le port TCP 445/SMB et peuvent désactiver le service WebClient sur leurs ordinateurs, ce qui empêcherait les attaques WebDAV. En outre, Microsoft recommande d’ajouter des comptes à privilèges élevés tels que des administrateurs de domaine ou d’autres comptes sensibles au groupe de sécurité des utilisateurs protégés. Cela empêchera ces utilisateurs d’utiliser NTLM comme mécanisme d’authentification.
L’équipe Microsoft Exchange a séparément développé un script qui peut être utilisé par les administrateurs Exchange Server ou Exchange Online pour déterminer si l’un de leurs utilisateurs a été ciblé par des e-mails malveillants qui ont tenté d’exploiter cette vulnérabilité.
« Sur la base de la simplicité avec laquelle cette vulnérabilité peut être exploitée, nous pensons que ce n’est qu’une question de temps avant qu’elle ne soit adoptée dans les manuels d’autres acteurs de la menace, y compris les groupes de rançongiciels et leurs affiliés », Satnam Narang, chercheur senior. ingénieur de la société de sécurité Tenable, a déclaré au CSO. « Nous prévoyons que CVE-2023-23397 deviendra l’une des principales vulnérabilités de 2023. » Les chercheurs de la société de sécurité MDSec ont déjà a créé un exploit de preuve de concept, ce qui signifie que l’exploit peut facilement se propager à des groupes moins sophistiqués que les APT parrainés par le gouvernement.
La vulnérabilité de contournement de SmartScreen a également été corrigée
La deuxième vulnérabilité zero-day corrigée lors du Patch Tuesday est suivie comme CVE-2023-24880 et a été signalé à Microsoft en février par des membres de Google, qui l’a trouvé exploité par le groupe à l’origine d’un programme de rançongiciel appelé Magniber.
Cette vulnérabilité permet aux attaquants de créer des fichiers qui contourneraient la boîte de dialogue d’avertissement de sécurité affichée par Windows lorsque les utilisateurs tentent d’ouvrir un fichier non approuvé téléchargé sur Internet. Windows marque automatiquement ces fichiers avec un Mark-of-the-Web (MotW), qui est un flux de données alternatif (ADS) à l’intérieur du flux NTFS d’un fichier lorsqu’il est enregistré localement. NTFS est le système de fichiers par défaut utilisé par Windows. Cet ADS est appelé ZoneId et s’il a une valeur de 3, le fichier a été téléchargé depuis Internet et est vérifié par SmartScreen.
SmartScreen est une technologie cloud anti-hameçonnage et anti-malware qui a débuté dans Internet Explorer et Edge, mais a été intégrée par défaut dans Windows à partir de Windows 8. Elle est spécialement conçue pour vérifier la réputation des fichiers qui ont une Marque-du-Web.
Selon Google TAG, les attaquants de Magniber ont exploité la vulnérabilité en utilisant des fichiers MSI (Microsoft Installer) signés avec une signature Authenticode invalide mais spécialement conçue. Les signatures mal formées forcent SmartScreen à renvoyer une erreur et à contourner l’avertissement de sécurité. « TAG a observé plus de 100 000 téléchargements de fichiers MSI malveillants depuis janvier 2023, dont plus de 80 % pour des utilisateurs en Europe – une divergence notable par rapport au ciblage typique de Magniber, qui se concentre généralement sur la Corée du Sud et Taïwan », a déclaré Google TAG.
Le contournement de SmartScreen est susceptible d’être utilisé par de mauvais acteurs
D’autres groupes adopteront probablement ce contournement SmartScreen dans leurs campagnes de distribution de logiciels malveillants, comme cela s’est déjà produit. En septembre, le rançongiciel Magniber a été livré à l’aide de fichiers JScript avec une signature Authenticode jointe. Normalement, ces signatures ne sont pas pour les fichiers JScript, mais pour les exécutables, mais les chercheurs ont réalisé qu’elles étaient attachées aux fichiers JScript pour corrompre SmartScreen et contourner ses contrôles de sécurité.
D’autres acteurs de la menace ont ensuite commencé à utiliser la même technique et le même contournement pour propager le logiciel malveillant Qakbot, suggérant que les attaquants Magniber et Qakbot ont acheté le contournement auprès de la même source. Microsoft a finalement corrigé cette vulnérabilité en décembre 2022 en tant que CVE-2022-44698, mais il semble que le correctif pour CVE-2022-44698 ne couvrait pas toutes les variantes d’exploit.
« Ce contournement de sécurité est un exemple d’une tendance plus large que Project Zero a soulignée précédemment : les fournisseurs publient souvent des correctifs étroits, créant une opportunité pour les attaquants d’itérer et de découvrir de nouvelles variantes », ont déclaré les membres de Google TAG. « Lors de la correction d’un problème de sécurité, il existe une tension entre un correctif localisé et fiable et un correctif potentiellement plus difficile du problème de cause première sous-jacent. Étant donné que la cause principale du contournement de sécurité SmartScreen n’a pas été résolue, les attaquants ont pu identifier rapidement une variante différente du bogue d’origine. »
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
