Des pirates ont exploité un Windows 0-day pendant 6 mois après que Microsoft en ait eu connaissance
-
Les pirates informatiques soutenus par le gouvernement nord-coréen ont remporté une victoire majeure lorsque Microsoft a laissé un logiciel Windows Zero Day sans correctif pendant six mois après avoir appris qu’il était activement exploité.
Même après que Microsoft ait corrigé la vulnérabilité le mois dernier, la société n’a pas mentionné que le groupe nord-coréen Lazarus utilisait cette vulnérabilité depuis au moins août pour installer un rootkit furtif sur des ordinateurs vulnérables. Cette vulnérabilité offrait un moyen simple et furtif aux logiciels malveillants qui avaient déjà obtenu les droits d’administration du système d’interagir avec le noyau Windows. Lazarus a utilisé cette vulnérabilité précisément pour cela. Malgré cela, Microsoft affirme depuis longtemps que de telles élévations de l’administrateur au noyau ne représentent pas le franchissement d’une frontière de sécurité, une explication possible du temps mis par Microsoft pour corriger la vulnérabilité.
Un rootkit « Saint Graal »
“En matière de sécurité Windows, la frontière est mince entre l’administrateur et le noyau”, a expliqué la semaine dernière Jan Vojtěšek, chercheur de la société de sécurité Avast. de Microsoft « Les critères de sécurité affirment depuis longtemps que « [l]'administrateur vers le noyau ne constitue pas une limite de sécurité », ce qui signifie que Microsoft se réserve le droit de corriger les vulnérabilités de l’administrateur vers le noyau à sa propre discrétion. Par conséquent, le modèle de sécurité de Windows ne garantit pas qu’il empêchera un attaquant de niveau administrateur d’accéder directement au noyau.
La politique de Microsoft s’est avérée être une aubaine pour Lazarus en installant « FudModule », un rootkit personnalisé qui, selon Avast, était exceptionnellement furtif et avancé. Les rootkits sont des logiciels malveillants qui ont la capacité de cacher leurs fichiers, processus et autres fonctionnements internes au système d’exploitation lui-même tout en contrôlant les niveaux les plus profonds du système d’exploitation. Pour fonctionner, ils doivent d’abord obtenir des privilèges administratifs, une réussite majeure pour tout malware infectant un système d’exploitation moderne. Ensuite, ils doivent franchir un autre obstacle : interagir directement avec le noyau, le recoin le plus profond d’un OS réservé aux fonctions les plus sensibles.
Au cours des années passées, Lazarus et d’autres groupes malveillants ont atteint ce dernier seuil principalement en exploitant des pilotes système tiers, qui, par définition, ont déjà accès au noyau. Pour fonctionner avec les versions prises en charge de Windows, les pilotes tiers doivent d’abord être signés numériquement par Microsoft pour certifier qu’ils sont dignes de confiance et répondent aux exigences de sécurité. Dans le cas où Lazarus ou un autre acteur malveillant a déjà surmonté l’obstacle de l’administration et identifié une vulnérabilité dans un pilote approuvé, ils peuvent l’installer et exploiter la vulnérabilité pour accéder au noyau Windows. Cette technique, connue sous le nom de BYOVD (apportez votre propre pilote vulnérable), a cependant un coût, car elle offre aux défenseurs de nombreuses possibilités de détecter une attaque en cours.
La vulnérabilité exploitée par Lazarus, identifiée comme CVE-2024-21338, offrait beaucoup plus de furtivité que BYOVD car elle exploitait appid.sys, un pilote activant le service Windows AppLocker, préinstallé dans le système d’exploitation Microsoft. Avast a déclaré que de telles vulnérabilités représentaient le « Saint Graal », par rapport au BYOVD.
En août, les chercheurs d’Avast ont envoyé à Microsoft une description de la faille, ainsi qu’un code de validation démontrant ce qu’il faisait lorsqu’il était exploité. Microsoft n’a corrigé la vulnérabilité que le mois dernier. Même alors, la divulgation de l’exploitation active du CVE-2024-21338 et des détails du rootkit Lazarus n’est pas venue de Microsoft en février mais d’Avast 15 jours plus tard. Un jour plus tard, Microsoft a mis à jour son bulletin de correctif pour noter l’exploitation.
On ne sait pas exactement ce qui a causé le retard ou l’absence initiale de divulgation. Microsoft n’a pas immédiatement reçu de réponses aux questions envoyées par courrier électronique.
Quelle que soit la raison, l’attente de six mois a donné à Lazarus un moyen beaucoup plus efficace et furtif d’installer FudModule. Une fois en place, le rootkit a permis à Lazarus de contourner les défenses clés de Windows telles que Endpoint Detection and Response , Protected Process Light (conçu pour empêcher la falsification des processus de protection des points finaux) et la prévention de la lecture de la mémoire et de l’injection de code par des processus non protégés. Vojtěšek d’Avast a expliqué :
Du point de vue de l’attaquant, passer de l’administrateur au noyau ouvre un tout nouveau domaine de possibilités . Avec un accès au niveau du noyau, un attaquant peut perturber les logiciels de sécurité, dissimuler les indicateurs d’infection (notamment les fichiers, l’activité réseau, les processus, etc.), désactiver la télémétrie en mode noyau, désactiver les atténuations, etc. De plus, comme la sécurité de PPL (Protected Process Light) repose sur la frontière entre l’administrateur et le noyau, notre attaquant hypothétique a également la possibilité de falsifier les processus protégés ou d’ajouter une protection à un processus arbitraire. Cela peut être particulièrement puissant si lsass est protégé par RunAsPPL , car le contournement de PPL pourrait permettre à l’attaquant de supprimer des informations d’identification autrement inaccessibles.
Le chercheur a ensuite écrit :
Si un attaquant, malgré tous ces obstacles, parvient à exploiter une vulnérabilité zero-day dans un pilote intégré, il sera récompensé par un niveau de furtivité qui ne peut être égalé par une exploitation BYOVD standard. En exploitant une telle vulnérabilité, l’attaquant vit en quelque sorte de la terre sans avoir besoin d’apporter, de supprimer ou de charger des pilotes personnalisés, ce qui permet à une attaque du noyau d’être véritablement sans fichier. Cela évite non seulement la plupart des mécanismes de détection, mais permet également d’attaquer les systèmes sur lesquels la liste blanche des pilotes est en place (ce qui peut sembler un peu ironique, étant donné que CVE-2024-21338 concerne un pilote AppLocker).
Bien que nous ne puissions que spéculer sur la motivation de Lazarus pour choisir cette troisième approche pour franchir la frontière entre l’administrateur et le noyau, nous pensons que la furtivité était leur principale motivation. Compte tenu de leur niveau de notoriété, ils devraient échanger leurs vulnérabilités chaque fois que quelqu’un brûlait leur technique BYOVD actuellement utilisée. Peut-être ont-ils également pensé qu’en allant au-delà du BYOVD, ils pourraient minimiser le besoin d’échange en restant indétectés plus longtemps.
Vulnérabilité ou non, patchez dès que possible
Le chercheur indépendant Kevin Beaumont a qualifié la gestion de la vulnérabilité par l’entreprise de « autre problème de la part de Microsoft ».
