Microsoft corrige 97 failles, dont une vulnérabilité exploitée par un gang de rançongiciel

Microsoft vient de tenter de colmater une brèche dans sa sécurité, visiblement exploitée par un gang de rançongiciel. Son dernier Patch Tuesday – un lot de mises à jour de sécurité présentées une fois par mois – s’est en effet traduit par 97 nouveaux correctifs, dont sept critiques, le solde étant classé comme des failles importantes.

Et l’utilisation d’une des vulnérabilités corrigées, une faille dans le service de journalisation à usage général Common Log File System (CLFS), a été observée en détail par l’éditeur russe de cybersécurité Kaspersky, qui a signalé cette activité malveillante à Microsoft. Des cybercriminels auraient ainsi tenté de s’appuyer sur cette faille pour déployer en février 2023 le rançongiciel Nokoyawa lors d’une attaque, selon Kaspersky.

Elévation de privilèges

La faille exploitée dans le Common Log File System permettait aux attaquants d’élever leurs privilèges et de voler des informations d’identification de la base de données Security Account Manager (SAM). Ce qui ouvrait ensuite la voie au déploiement du rançongiciel. Comme le souligne la Zero Day Initiative, Microsoft avait déjà déployé un correctif proche en février 2023, sans doute le signe que la brèche n’avait pas été bien comblée.

Selon Kaspersky, ce groupe de hackers malveillants s’était spécialisé dans l’exploitation de failles visant les pilotes du Common Log File Systeme. L’éditeur a ainsi compté l’utilisation de cinq vulnérabilités similaires, mais différentes, dans des attaques observées depuis juin 2022 visant des organisations au Moyen-Orient, en Amérique du Nord, et en Asie.

Augmentation de la technicité des attaques

Comme le rappelle Kaspersky, l’utilisation de failles zéro-day par des cybercriminels n’est pas si fréquente. Ce dernier exemple montre qu’il existe des groupes prêts à investir dans le développement d’exploits, soit le signe d’une « augmentation significative du niveau de sophistication » de ces attaques.

Repéré en mars 2022 par Trend Micro, le rançongiciel Nokoyawa pourrait être lié au rançongiciel Hive, un programme malveillant qui avait fait de sérieux dégâts en 2021. Les deux rançongiciels partageaient, remarquait l’entreprise, des méthodes, des outils similaires et la même infrastructure.