La cybersécurité est plus que jamais au cœur des préoccupations des entreprises et des particuliers. Récemment, une faille de sécurité critique dans le service de rapport d’erreurs de Microsoft Windows a été exploitée par des acteurs de menace, soulignant l’importance constante de la vigilance et des mises à jour de sécurité. Découvrons comment la faille CVE-2024-26169 a été utilisée par le rançongiciel Black Basta pour infiltrer des systèmes.
Exploitation d’une faille zero-day par Black Basta
Symantec dévoile l’exploitation avant correction
L’équipe Symantec Threat Hunter, une division de Broadcom, a récemment mis en lumière une attaque informatique où le rançongiciel Black Basta aurait utilisé une faille non corrigée de Microsoft. D’après leurs analyses, l’outil d’exploitation utilisé avait été compilé avant que la faille ne soit corrigée en mars 2024, mettant en lumière un usage potentiel en tant que faille zero-day.
Le mode opératoire des pirates
Les pirates financièrement motivés, connus sous le groupe Cardinal, utilisent fréquemment le Black Basta rançongiciel pour monétiser l’accès aux réseaux compromis. Ce groupe réussit ses intrusions initiales grâce à des vecteurs tels que QakBot et DarkGate, avant d’exploiter des produits Microsoft légitimes comme Quick Assist et Microsoft Teams pour étendre leur contrôle.
Vecteurs d’attaque et méthodes d’exploitation
Utilisation détournée de Microsoft Teams et Quick Assist
L’un des vecteurs d’attaque remarqués récemment implique l’utilisation de Microsoft Teams pour envoyer des messages ou initier des appels visant à usurper l’identité du personnel de support technique. Cette stratégie mène à l’abus de Quick Assist, puis au vol de credentials grâce à EvilProxy, à l’exécution de scripts batch et à l’utilisation de SystemBC pour maintenir la persistence et le contrôle à distance.
Méthode d’exploitation de la faille
La faille exploitée résidait dans l’utilisation d’un descripteur de sécurité nul par le fichier werkernel.sys de Windows lors de la création de clés de registre. Les pirates ont ainsi pu créer une clé de registre trompeuse pour exécuter une ligne de commande avec des privilèges administratifs, augmentant leur niveau d’accès au système infecté.
En conclusion, alors que les menaces cybernétiques continuent d’évoluer, notre service chez CyberCare, se concentre sur l’offre de solutions de cybersécurité avancées pour protéger les données et réseaux de nos clients contre de telles exploitations et attaques de rançongiciels complexes.
