Une vulnérabilité zero-day de Windows récemment corrigée par Microsoft a été exploitée par des pirates informatiques travaillant pour le compte du gouvernement nord-coréen afin de pouvoir installer un logiciel malveillant personnalisé exceptionnellement furtif et avancé, ont rapporté des chercheurs lundi.
La vulnérabilité, identifiée comme CVE-2024-38193, était l’une des six vulnérabilités zero-day (c’est-à-dire des vulnérabilités connues ou activement exploitées avant que le fournisseur ne propose un correctif) corrigées dans la mise à jour mensuelle de Microsoft publiée mardi dernier. Microsoft a déclaré que la vulnérabilité (dans une classe connue sous le nom de « use after free ») était située dans AFD.sys, le fichier binaire de ce que l’on appelle le pilote de fonction auxiliaire et le point d’entrée du noyau pour l’API Winsock. Microsoft a averti que la vulnérabilité zero-day pourrait être exploitée pour donner aux attaquants des privilèges système, les droits système maximum disponibles dans Windows et un statut requis pour exécuter du code non fiable.
Lazarus obtient l’accès au noyau Windows
Microsoft avait alors prévenu que la vulnérabilité était activement exploitée, mais n’avait fourni aucun détail sur les auteurs des attaques ni sur leur objectif ultime. Lundi, des chercheurs de Gen, la société de sécurité qui a découvert les attaques et les a signalées en privé à Microsoft, ont déclaré que les auteurs de la menace faisaient partie de Lazarus, le nom que les chercheurs utilisent pour traquer un groupe de piratage soutenu par le gouvernement nord-coréen.
« Cette vulnérabilité permettait aux attaquants de contourner les restrictions de sécurité normales et d’accéder à des zones sensibles du système inaccessibles à la plupart des utilisateurs et administrateurs », ont indiqué les chercheurs de Gen. « Ce type d’attaque est à la fois sophistiqué et ingénieux, et peut coûter plusieurs centaines de milliers de dollars sur le marché noir. C’est inquiétant car elle cible des individus travaillant dans des domaines sensibles, comme ceux qui travaillent dans l’ingénierie des cryptomonnaies ou dans l’aérospatiale, pour accéder aux réseaux de leur employeur et voler des cryptomonnaies afin de financer les opérations des attaquants. »
L’article de blog de lundi indiquait que Lazarus utilisait l’exploit pour installer FudModule, un malware sophistiqué découvert et analysé en 2022 par des chercheurs de deux sociétés de sécurité distinctes : AhnLab et ESET. Nommé d’après le fichier FudModule.dll qui était autrefois présent dans sa table d’exportation, FudModule est un type de malware connu sous le nom de rootkit. Il se distinguait par sa capacité à fonctionner de manière robuste dans les profondeurs les plus profondes de Windows, un domaine qui n’était pas largement compris à l’époque ou aujourd’hui. Cette capacité a permis à FudModule de désactiver la surveillance par les défenses de sécurité internes et externes.
Les rootkits sont des malwares capables de dissimuler leurs fichiers, processus et autres mécanismes internes au système d’exploitation lui-même, tout en contrôlant les niveaux les plus profonds de ce dernier. Pour fonctionner, les rootkits doivent d’abord obtenir des privilèges système et interagir directement avec le noyau, la zone d’un système d’exploitation réservée aux fonctions les plus sensibles. Les variantes de FudModule découvertes par AhnLabs et ESET ont été installées à l’aide d’une technique appelée « apportez votre propre pilote vulnérable », qui consiste à installer un pilote légitime présentant des vulnérabilités connues pour accéder au noyau.
Plus tôt cette année, des chercheurs de la société de sécurité Avast ont repéré une nouvelle variante de FudModule qui contournait les défenses clés de Windows telles que Endpoint Detection and Response et Protected Process Light. Microsoft a mis six mois après qu’Avast a signalé la vulnérabilité en privé pour la corriger, un délai qui a permis à Lazarus de continuer à l’exploiter.
Alors que Lazarus utilisait le « Bring Your Own Vulnerable Driver » pour installer les versions antérieures de FudModule, les membres du groupe ont installé la variante découverte par Avast en exploitant un bug dans appid.sys, un pilote permettant le service Windows AppLocker, qui est préinstallé dans Windows. Les chercheurs d’Avast ont déclaré à l’époque que la vulnérabilité Windows exploitée dans ces attaques représentait un Saint Graal pour les pirates car elle était intégrée directement dans le système d’exploitation plutôt que de devoir être installée à partir de sources tierces.
Gen, un conglomérat comprenant les marques Norton, Norton Lifelock, Avast et Avira, entre autres, n’a pas fourni de détails critiques, notamment le moment où Lazarus a commencé à exploiter CVE-2024-38193, le nombre d’organisations ciblées par les attaques et si la dernière variante de FudModule a été détectée par des services de protection des terminaux. Il n’y a également aucun indicateur de compromission. Les représentants de l’entreprise n’ont pas répondu aux e-mails.