Au moins 11 groupes de piratage informatique parrainés par l'État de Corée du Nord, Iran, Russie, et la Chine ont activement exploité une faille Windows récemment découverte vulnérabilité du jour zéro dans les attaques de cyberespionnage et de vol de données depuis 2017. Malgré des preuves évidentes d’exploitation, Microsoft a refusé de publier une mise à jour de sécurité pour résoudre le problème..
Microsoft refuse de corriger le problème ZDI-CAN-25373
Les chercheurs en sécurité Pierre Girnus et Aliakbar Zahravi de l'initiative Zero Day de Trend Micro (brièvement connu sous le nom de ZDI) a révélé que près de 1,000 Lien Shell (.LNK) échantillons exploiter cette vulnérabilité, suivi comme ZDI-CAN-25373, ont été identifiés. On estime que le nombre réel de tentatives d’exploitation est beaucoup plus élevé..
Les chercheurs ont soumis une preuve de concept (PoC) exploiter via le programme de primes aux bugs de Trend Micro ZDI. Cependant, Microsoft a classé la vulnérabilité comme “ne répond pas aux critères d'entretien” et a refusé de le corriger.
Espionnage mondial et vol de données à grande échelle
Les acteurs de la menace ont exploité ZDI-CAN-25373 dans des cyberattaques généralisées à travers Amérique du Nord, Amérique du sud, Europe, Asie de l'Est, et de l'Australie. La majorité de ces attaques, autour 70%, ont été liés à l'espionnage et au vol de données, tandis que les motivations financières représentaient environ 20%.
Parmi les groupes de pirates informatiques qui exploitent cette vulnérabilité figurent des acteurs bien connus parrainés par l’État, tels que Mal Corp, APT43 (Kimsuky), Amer, APT37, Mustang Panda, SideWinder, Hôtel Rouge, et Konni. Celles-ci Les cybercriminels APT ont déployé diverses charges utiles de logiciels malveillants, Y compris Ursnif, Gh0st RAT, et Trick bot, en utilisant malware-as-a-service plateformes pour étendre davantage leur portée.
Comment fonctionne la vulnérabilité?
La vulnérabilité zero-day de Windows est causée par un Interface utilisateur (UI) Fausse déclaration d'informations critiques faiblesse. Il exploite la façon dont Windows gère .lnk
fichiers de raccourcis, permettant aux attaquants d'exécuter du code arbitraire sur les appareils ciblés tout en échappant à la détection.
Les attaquants manipulent .lnk
fichiers en insérant des arguments de ligne de commande cachés à l'aide de espaces blancs rembourrés, qui peut prendre la forme de caractères hexadécimaux codés, comme:
\x20
(Espace)\x09
(Onglet horizontal)\x0A
(Saut de ligne)\x0B
(Onglet vertical)\x0C
(Saut de page)\x0D
(Retour chariot)
Ces espaces cachés empêchent les utilisateurs de voir des arguments malveillants dans l'interface utilisateur Windows, permettant aux attaquants d'exécuter des commandes furtivement.
Microsoft n'a pas encore attribué de ID CVE à cette vulnérabilité, tandis que Trend Micro continue de le suivre comme ZDI-CAN-25373. Le problème est assez similaire à une autre vulnérabilité, CVE-2024-43461, qui a été utilisé par le groupe APT Void Banshee pour lancer des attaques à travers l'Amérique du Nord, Europe, et l'Asie du Sud-Est. Microsoft a corrigé CVE-2024-43461 au cours du mois de septembre 2024 Patch Tuesday.
Malgré les inquiétudes croissantes des chercheurs en sécurité, Microsoft n'a fourni aucune indication qu'un correctif pour ZDI-CAN-25373 sera publié, laissant les utilisateurs de Windows exposés aux cybermenaces continues.