Le groupe hacktiviste DragonForce Malaysia a publié un exploit qui permet à l'escalade de privilèges locaux (LPE) de Windows Server d'accorder l'accès aux capacités du routeur de distribution local (LDR). Il a également annoncé qu'il ajoutait des attaques de ransomware à son arsenal.
Le groupe a publié une preuve de concept (PoC) de l'exploit sur sa chaîne Telegram le 23 juin, qui a ensuite été analysé par CloudSEK cette semaine. Bien qu'il n'y ait pas de CVE connu pour le bogue, le groupe affirme que l'exploit peut être utilisé pour contourner l'authentification "à distance en une seconde" afin d'accéder à la couche LDR, qui est utilisée pour interconnecter les réseaux locaux à divers endroits d'une organisation.
Le groupe affirme qu'il utiliserait l'exploit dans des campagnes ciblées sur les entreprises opérant en Inde, qui relèvent directement de sa timonerie. Au cours des trois derniers mois, DragonForce Malaysia a lancé plusieurs campagnes ciblant de nombreuses agences et organisations gouvernementales à travers le Moyen-Orient et l'Asie.
« DragonForce Malaysia s'ajoute à une année qui restera longtemps dans les mémoires pour ses troubles géopolitiques », déclare Daniel Smith, responsable de la recherche pour la division Cyber Threat Intelligence de Radware. "En combinaison avec d'autres hacktivistes, le groupe de menaces a réussi à combler le vide laissé par Anonymous tout en restant indépendant lors de la résurgence des hacktivistes liés à la guerre russo-ukrainienne."
Le plus récent, baptisé "OpsPatuk" et lancé en juin, a déjà vu plusieurs agences et organisations gouvernementales à travers le pays ciblées par des fuites de données et des attaques par déni de service, le nombre de dégradations dépassant 100 sites Web.
"DragonForce Malaysia devrait continuer à définir et à lancer de nouvelles campagnes réactionnaires basées sur leurs affiliations sociales, politiques et religieuses dans un avenir prévisible", a déclaré Smith. « Les récentes opérations de DragonForce Malaysia… devraient rappeler aux organisations du monde entier qu'elles doivent rester vigilantes en ces temps et conscientes que des menaces existent en dehors du contexte actuel. cyberconflit en Europe de l'Est. »
Pourquoi LPE devrait être sur le radar de patching
Bien qu'il ne soit pas aussi flashy que l'exécution de code à distance (RCE), Exploits LPE fournir un chemin d'accès d'un utilisateur normal à SYSTEM, essentiellement le niveau de privilège le plus élevé dans l'environnement Windows. Si elles sont exploitées, les vulnérabilités LPE permettent non seulement à un attaquant de franchir la porte, mais fournissent également des privilèges d'administrateur local et un accès aux données les plus sensibles du réseau.
Avec ce niveau d'accès accru, les attaquants peuvent apporter des modifications au système, récupérer des informations d'identification à partir de services stockés ou récupérer des informations d'identification d'autres utilisateurs qui utilisent ou se sont authentifiés sur ce système. La récupération des informations d'identification d'autres utilisateurs peut permettre à un attaquant d'usurper l'identité de ces utilisateurs, en fournissant des chemins de déplacement latéral sur un réseau.
Avec des privilèges élevés, un attaquant peut également effectuer des tâches d'administration, exécuter des logiciels malveillants, voler des données, exécuter une porte dérobée pour obtenir un accès persistant, et bien plus encore.
Darshit Ashara, chercheur principal sur les menaces pour CloudSEK, propose un exemple de scénario d'attaque.
"L'attaquant de l'équipe peut facilement exploiter n'importe quelle vulnérabilité simple basée sur une application Web pour prendre un pied initial et placer une porte dérobée basée sur le Web", explique Ashara. « Habituellement, la machine sur laquelle le serveur Web est hébergé aura des privilèges d'utilisateur. C'est là que l'exploit LPE permettra à l'acteur de la menace d'obtenir des privilèges plus élevés et de compromettre non seulement un seul site Web, mais d'autres sites Web hébergés sur le serveur.
Les exploits LPE restent souvent non corrigés
Tim McGuffin, directeur de l'ingénierie contradictoire chez LARES Consulting, une société de conseil en sécurité de l'information, explique que la plupart des organisations attendent de corriger les exploits LPE car ils nécessitent généralement un accès initial au réseau ou au point de terminaison en premier lieu.
"Beaucoup d'efforts sont mis sur la prévention initiale de l'accès, mais plus vous avancez dans la chaîne d'attaque, moins d'efforts sont mis sur des tactiques telles que l'escalade des privilèges, le mouvement latéral et la persistance", dit-il. "Ces correctifs sont généralement classés par ordre de priorité et corrigés sur une base trimestrielle et n'utilisent pas de processus d'urgence de" patch immédiat "."
Nicole Hoffman, analyste principale du renseignement sur les cybermenaces chez Digital Shadows, note que l'importance de chaque vulnérabilité est différente, qu'il s'agisse de LPE ou de RCE.
« Toutes les vulnérabilités ne peuvent pas être exploitées, ce qui signifie que toutes les vulnérabilités ne nécessitent pas une attention immédiate. C'est au cas par cas », précise-t-elle. "Plusieurs vulnérabilités LPE ont d'autres dépendances, telles que la nécessité d'un nom d'utilisateur et d'un mot de passe pour mener à bien l'attaque. Ce n'est pas impossible à obtenir, mais cela nécessite un niveau de sophistication plus élevé.
De nombreuses organisations créent également des comptes d'administrateur locaux pour les utilisateurs individuels, afin qu'ils puissent effectuer des fonctions informatiques quotidiennes telles que l'installation de leur propre logiciel sur leurs propres machines, ajoute Hoffman.
"Si de nombreux utilisateurs ont des privilèges d'administrateur local, il est plus difficile de détecter les actions d'administrateur local malveillantes dans un réseau", dit-elle. "Il serait facile pour un attaquant de se fondre dans les opérations normales en raison de mauvaises pratiques de sécurité largement utilisées."
Chaque fois qu'un exploit est diffusé dans la nature, explique-t-elle, il ne faut pas longtemps avant que des cybercriminels de différents niveaux de sophistication en profitent et lancent des attaques opportunistes.
"Un exploit supprime une partie de ce travail de fond", note-t-elle. "Il est réaliste qu'une analyse de masse soit déjà en cours pour cette vulnérabilité."
Hoffman ajoute que l'escalade verticale des privilèges nécessite plus de sophistication et est généralement plus conforme aux méthodologies avancées de menace persistante (APT).
DragonForce envisage de passer au ransomware
Dans une vidéo et via les réseaux sociaux, le groupe hacktiviste a également annoncé son intention de commencer mener des attaques massives de rançongiciels. Les chercheurs disent que cela pourrait être un complément à ses activités hacktivistes plutôt qu'un départ.
"DragonForce a mentionné avoir mené des attaques généralisées de ransomware en exploitant l'exploit qu'ils ont créé", explique Hoffman. "L'attaque de ransomware WannaCry était un excellent exemple de la façon dont les attaques de ransomware généralisées en même temps sont difficiles si le gain financier est l'objectif final."
Elle souligne également qu'il n'est pas rare de voir ces annonces de groupes de menaces cybercriminelles, car cela attire l'attention sur le groupe.
Du point de vue de McGuffin, cependant, l'annonce publique d'un changement de tactique est «une curiosité», en particulier pour un groupe hacktiviste.
"Leurs motivations peuvent être davantage liées à la destruction et au déni de service et moins à la réalisation de bénéfices comme les groupes de ransomwares typiques, mais ils peuvent utiliser le financement pour améliorer leurs capacités hacktivistes ou la sensibilisation à leur cause", dit-il.
Ashara convient que le changement prévu de DragonForce mérite d'être souligné, car le motif du groupe est de provoquer autant d'impact que possible, de renforcer leur idéologie et de diffuser leur message.
"Par conséquent, la motivation du groupe avec l'annonce du ransomware n'est pas pour une cause financière mais pour causer des dommages", dit-il. "Nous avons vu des logiciels malveillants d'essuie-glace similaires dans le passé où ils utilisaient des ransomwares et prétendaient que la motivation était financière, mais la motivation fondamentale est le dommage."
