Logo Zéphyrnet

Intelligence de données générative

Cyber sécurité

Les attaquants exploitent les bugs de sécurité Microsoft en contournant les bugs Zero-Day

Republié par Platon
Republié par Platon

Date :

Vues: 182

La mise à jour de sécurité Patch Tuesday prévue par Microsoft pour février comprend des correctifs pour deux vulnérabilités de sécurité Zero Day soumises à une attaque active, ainsi que 71 autres failles sur une large gamme de ses produits.

Au total, cinq des vulnérabilités pour lesquelles Microsoft a publié un correctif en février ont été jugées critiques, 66 importantes et deux modérées.

La la mise à jour inclut des correctifs pour Microsoft Office, Windows, Microsoft Exchange Server, le navigateur Edge basé sur Chromium de la société, Azure Active Directory, Microsoft Defender for Endpoint et Skype Entreprise. Tenable a identifié 30 des 73 CVE comme vulnérabilités d’exécution de code à distance (RCE) ; 16 comme permettant une élévation des privilèges ; 10 comme liés à des erreurs d’usurpation d’identité ; neuf comme permettant des attaques par déni de service distribué ; cinq comme défauts de divulgation d’informations ; et trois comme problèmes de contournement de sécurité.

Eau Hydra exploite les Zero Days en ciblant les traders financiers

Un acteur malveillant surnommé Water Hydra (alias Dark Casino) exploite actuellement l'une des vulnérabilités du jour zéro - un La fonctionnalité de sécurité des fichiers de raccourci Internet contourne la vulnérabilité suivi comme CVE-2024-21412 (CVSS 8.1) — dans une campagne malveillante ciblant les organisations du secteur financier.

Les chercheurs de Trend Micro – parmi ceux qui ont découvert et signalé la faille à Microsoft – l'ont décrite comme liée au contournement d'une vulnérabilité SmartScreen précédemment corrigée (CVE-2023-36025, CVSS 8.8) et affectant toutes les versions de Windows prises en charge. Les acteurs de Water Hydra utilisent CVE-2024-21412 pour obtenir un premier accès aux systèmes appartenant aux traders financiers et y déposer le cheval de Troie d'accès à distance DarkMe.

Pour exploiter cette vulnérabilité, un attaquant devrait d'abord fournir un fichier malveillant à un utilisateur ciblé et lui demander de l'ouvrir, a déclaré Saeed Abbasi, responsable des recherches sur les vulnérabilités chez Qualys, dans un commentaire envoyé par courrier électronique. "L'impact de cette vulnérabilité est profond, compromettant la sécurité et sapant la confiance dans les mécanismes de protection tels que SmartScreen", a déclaré Abbasi.

Contournement SmartScreen Zero-Day

L'autre jour zéro divulgué par Microsoft dans la mise à jour de sécurité de ce mois-ci affecte Defender SmartScreen. Selon Microsoft, CVE-2024-21351 est un bug de gravité moyenne qui permet à un attaquant de contourner les protections SmartScreen et d'y injecter du code pour potentiellement obtenir des capacités d'exécution de code à distance. Un exploit réussi pourrait entraîner une exposition limitée des données, des problèmes de disponibilité des systèmes, ou les deux, a déclaré Microsoft. Aucun détail n'est disponible sur qui exactement pourrait exploiter le bug et dans quel but.

Dans des commentaires préparés pour Dark Reading, Mike Walters, président et co-fondateur d'Action1, a déclaré que la vulnérabilité est liée à la manière dont la marque du Web de Microsoft (une fonctionnalité permettant d'identifier le contenu non fiable sur Internet) interagit avec la fonctionnalité SmartScreen. "Pour cette vulnérabilité, un attaquant doit distribuer un fichier malveillant à un utilisateur et le persuader de l'ouvrir, lui permettant ainsi de contourner les contrôles SmartScreen et potentiellement compromettre la sécurité du système", a déclaré Walters.

Bogues hautement prioritaires

Parmi les cinq vulnérabilités critiques de la mise à jour de février, celle qui nécessite une attention prioritaire est CVE-2024-21410, une vulnérabilité d'élévation de privilèges dans Exchange Server, une cible favorite des attaquants. Un attaquant pourrait utiliser ce bogue pour divulguer le hachage Net-New Technology LAN Manager (NTLM) version 2 d'un utilisateur ciblé, puis relayer ces informations d'identification sur un serveur Exchange concerné et s'authentifier auprès de celui-ci en tant qu'utilisateur.

Des failles comme celle-ci, qui divulguent des informations sensibles telles que les hachages NTLM, peuvent être très précieuses pour les attaquants, a déclaré Satnam Narang, ingénieur de recherche senior chez Tenable, dans un communiqué. "Un acteur malveillant basé en Russie a exploité une vulnérabilité similaire pour mener des attaques : CVE-2023-23397 est une vulnérabilité d'élévation de privilèges dans Microsoft Outlook corrigée en mars 2023", a-t-il déclaré.

Pour corriger la faille, les administrateurs Exchange devront s'assurer qu'ils ont installé la mise à jour cumulative 2019 (CU14) d'Exchange Server 14 et s'assurer que la fonctionnalité de protection étendue pour l'authentification (EPA) est activée, a déclaré Trend Micro. Le fournisseur de sécurité a souligné un article publié par Microsoft qui fournit des informations supplémentaires sur la manière de corriger la vulnérabilité.

Microsoft a attribué à CVE-2024-21410 une note de gravité maximale de 9.1 sur 10, ce qui en fait une vulnérabilité critique. Mais en général, les vulnérabilités d'élévation de privilèges ont tendance à obtenir un score relativement faible sur l'échelle d'évaluation des vulnérabilités CVSS, ce qui dément la véritable nature de la menace qu'elles présentent, a déclaré Kev Breen, directeur principal de la recherche sur les menaces chez Immersive Labs. "Malgré leur faible score, les vulnérabilités [d'escalade de privilèges] sont très recherchées par les acteurs malveillants et utilisées dans presque tous les cyberincidents", a déclaré Breen dans un communiqué. "Une fois qu'un attaquant a accès à un compte utilisateur via l'ingénierie sociale ou une autre attaque, il cherchera ensuite à étendre ses autorisations à l'administrateur local ou à l'administrateur de domaine."

Walters d'Action1 mis en évidence CVE-2024-21413, une faille RCE dans Microsoft Outlook en tant que vulnérabilité que les administrateurs pourraient souhaiter prioriser à partir du lot de février. La faille de gravité critique, avec un score de gravité proche du maximum de 9.8, implique une faible complexité d'attaque, aucune interaction de l'utilisateur et aucun privilège spécial requis pour qu'un attaquant puisse l'exploiter. "Un attaquant peut exploiter cette vulnérabilité via le volet de prévisualisation d'Outlook, lui permettant de contourner la vue protégée d'Office et de forcer l'ouverture des fichiers en mode édition, plutôt qu'en mode protégé plus sûr", a déclaré Walters.

Microsoft lui-même a identifié cette vulnérabilité comme quelque chose que les attaquants sont moins susceptibles d'attaquer. Néanmoins, Walters a déclaré que la vulnérabilité constitue une menace importante pour les organisations et nécessite une attention immédiate.

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.