Les technologies automatisées de Kaspersky Lab ont détecté une vulnérabilité, jusque-là inconnue, dans Microsoft Windows ; elle a été exploitée par un groupe criminel non identifié.

L’attaque visait le cœur des systèmes attaqués, le kernel, via une backdoor construite depuis un élément essentiel de Windows OS.

Une fois le fichier malveillant .exe exécuté, l’installation du malware était initiée.

L’infection exploitait une faille zero-day (1) pour obtenir les conditions nécessaires à la mise en place d’une attaque persistante sur la machine de la victime.

Le malware initiait ensuite le lancement d’une porte dérobée (2)  développée avec un élément Windows légitime, présent sur toutes les machines utilisant l’OS –  Windows PowerShell.

Cela permettait au groupe criminel d’éviter toute détection (et d’éviter le contrôle des solutions de sécurité classiques), mais également de gagner du temps dans l’écriture du code.

Le malware téléchargeait ensuite une autre backdoor venant d’un service légitime de stockage de textes, qui lui donnait le contrôle total du système infecté.

Kaspersky Lab a informé Microsoft de cette vulnérabilité, qui a été patchée le 10 avril.

ð Les portes dérobées (backdoors) un type de malware extrêmement dangereux.

 Elles permettent en effet aux auteurs de menaces de contrôler discrètement des machines infectées à des fins malveillantes.

 Une telle intervention d’un tiers est généralement difficile à cacher aux solutions de sécurité.

Toutefois, une porte dérobée exploitant un bug  du système inconnu jusqu’alors, une vulnérabilité de type « jour zéro », a beaucoup plus de chances de passer inaperçue.

ð Les solutions de sécurité ordinaires et les meilleurs antivirus ne peuvent ni reconnaître l’infection du système ni protéger les utilisateurs contre la menace qui reste à identifier.

La technologie de prévention d’exploitation de Kaspersky Lab était toutefois capable de détecter la tentative d’exploiter la vulnérabilité inconnue sous le système d’exploitation Microsoft Windows.

 « Lors de cette attaque, nous avons observé deux tendances principales que nous constatons souvent dans les menaces persistantes avancées (APT) :

-         Tout d’abord, l’utilisation des hausses de privilèges locales exploite la persistance de la machine de la victime.

-         Ensuite, l’utilisation de structures légitimes telles que Windows PowerShell pour les activités malveillantes sur la machine de la victime.

Cette combinaison donne aux acteurs de la menace la possibilité de contourner les solutions de sécurité standard. Pour détecter de telles techniques, la solution de sécurité doit utiliser des moteurs de prévention de l’exploitation et de détection comportementale », indique-t-on chez Kaspersky Lab.

(1)           Failles « zero day » : des failles, rares, qui n'ont pas encore été découvertes et peuvent donc être utilisées par des pirates sans que personne ne le remarque.

(2)          Dans un logiciel, une porte dérobée (de l'anglais backdoor, littéralement porte de derrière) est une fonctionnalité inconnue de l'utilisateur légitime, qui donne un accès secret au logiciel.

L'introduction d'une porte dérobée dans un logiciel à l'insu de son utilisateur transforme le logiciel en cheval de Troie.

Parmi les motivations qui conduisent les pirates informatiques à installer une porte dérobée on retiendra :

-         la possibilité de surveiller ce que fait l'utilisateur légitime et de copier ou détruire des données ayant une valeur (mots de passe, clé privée pour déchiffrer des messages privés, coordonnées bancaires, secrets commerciaux) ;

-         la possibilité de prendre le contrôle d'un ordinateur et de pouvoir l'utiliser pour mener des actions malfaisantes (envoi de pourriels notamment pour l'hameçonnage, de virus informatiques, déni de service) ;

-         le contrôle d'un vaste réseau d’ordinateurs, qui peut être utilisé pour du chantage au déni de service distribué (DDoS), ou revendu à des criminels.

Pour installer des portes dérobées en masse, les pirates utilisent des vers.

Ceux-ci se répandent automatiquement et installent un serveur informatique sur chaque ordinateur infecté.

Ensuite le pirate peut se connecter à travers Internet au serveur.

Voir par ailleurs :