Le très utilisé le malware ZLoader survient dans toutes sortes de piratages criminels, des efforts visant à voler les mots de passe bancaires et autres données sensibles aux attaques de ransomware. Maintenant, une campagne ZLoader qui a commencé en novembre a infecté près de 2 200 victimes dans 111 pays en abusant d’une faille Windows que Microsoft a corrigée en 2013.
Les pirates informatiques utilisent depuis longtemps diverses tactiques pour faire passer Zloader au-delà des outils de détection de logiciels malveillants. Dans ce cas, selon les chercheurs de la société de sécurité Check Point, les attaquants ont profité d’une lacune dans la vérification de la signature de Microsoft, le contrôle d’intégrité pour s’assurer qu’un fichier est légitime et digne de confiance. Premièrement, ils incitaient les victimes à installer un outil de gestion informatique à distance légitime appelé Atera pour obtenir l’accès et le contrôle des appareils ; cette partie n’est pas particulièrement surprenante ou nouvelle. À partir de là, cependant, les pirates devaient toujours installer ZLoader sans que Windows Defender ou un autre scanner de logiciels malveillants le détecte ou le bloque.
C’est là que la faille vieille de près de dix ans s’est avérée utile. Les attaquants pourraient modifier un fichier légitime de « bibliothèque de liens dynamiques » – un fichier commun partagé entre plusieurs logiciels pour charger du code – pour y implanter leur malware. Le fichier DLL cible est signé numériquement par Microsoft, ce qui prouve son authenticité. Mais les attaquants ont pu ajouter discrètement un script malveillant au fichier sans affecter le sceau d’approbation de Microsoft.
« Quand vous voyez un fichier comme une DLL qui est signé, vous êtes presque sûr de pouvoir lui faire confiance, mais cela montre que ce n’est pas toujours le cas », explique Kobi Eisenkraft, chercheur en logiciels malveillants chez Check Point. « Je pense que nous verrons plus de cette méthode d’attaque. »
Microsoft appelle son processus de signature de code « Authenticode ». Il a publié un correctif en 2013 qui a rendu la vérification de la signature d’Authenticode plus stricte, pour signaler les fichiers qui avaient été subtilement manipulés de cette manière. À l’origine, le correctif devait être diffusé à tous les utilisateurs de Windows, mais en juillet 2014, Microsoft a révisé son plan, rendant la mise à jour facultative.
« Alors que nous travaillions avec les clients pour nous adapter à ce changement, nous avons déterminé que l’impact sur les logiciels existants pourrait être élevé », a écrit la société en 2014, ce qui signifie que le correctif provoquait de faux positifs lorsque des fichiers légitimes étaient signalés comme potentiellement malveillants. « Par conséquent, Microsoft ne prévoit plus d’appliquer le comportement de vérification plus strict comme exigence par défaut. La fonctionnalité sous-jacente pour une vérification plus stricte reste cependant en place et peut être activée à la discrétion du client. »
Dans un communiqué publié mercredi, Microsoft a souligné que les utilisateurs peuvent se protéger avec le correctif publié par la société en 2013. Et la société a noté que, comme les chercheurs de Check Point l’ont observé dans la campagne ZLoader, la vulnérabilité ne peut être exploitée que si un appareil a déjà été compromis ou les attaquants trompent directement les victimes pour qu’elles exécutent l’un des fichiers manipulés qui semble être signé. « Les clients qui appliquent la mise à jour et activent la configuration indiquée dans l’avis de sécurité seront protégés », a déclaré un porte-parole de Microsoft à WIRED.
Mais alors que le correctif est disponible, et ce depuis tout ce temps, de nombreux appareils Windows ne l’ont probablement pas activé, car les utilisateurs et les administrateurs système auraient besoin de connaître le correctif, puis de choisir de le configurer. Microsoft a noté en 2013 que la vulnérabilité était activement exploitée par des pirates informatiques dans le cadre d’« attaques ciblées ».