Posté le mars 19, 2021 à 12:20
DES HACKERS SOPHISTIQUÉS INFECTENT LES SYSTÈMES WINDOWS ET ANDROID EN UTILISANT 11 VULNÉRABILITÉS ZERO DAY
Un rapport récent a révélé qu’un groupe de hackers anonyme a mené une opération de piratage soutenue et a ciblé les utilisateurs de Windows, iOS et Android en utilisant 11 vulnérabilités zero day.
L’équipe Project Zero de Google, qui a découvert l’attaque, a déclaré que la campagne a commencé l’année dernière. L’attaque s’est déroulée sur deux périodes différentes, la première en février et la seconde en octobre.
L’équipe de Google a déclaré que le groupe de hackers attirait ses victimes sur des sites malveillants qui les redirigeaient vers des serveurs d’exploit.
Différentes vulnérabilités dans la chaîne d’exploitation ont permis aux acteurs malveillants de contourner le conteneur de sécurité sandbox du navigateur et d’obtenir un accès initial temporaire à l’appareil de l’utilisateur. Une fois l’accès initial obtenu, l’attaquant s’installe de façon permanente en élevant ses privilèges sur le système d’exploitation concerné.
Des zero-days combinés à d’autres vulnérabilités
Le rapport a révélé que les attaquants ne dépendaient pas entièrement des zero-days pour attaquer les victimes, car ils combinaient également d’autres vulnérabilités bien connues qui étaient déjà corrigées.
En outre, les acteurs malveillants ont fait preuve d’une grande technicité pour montrer leur capacité à changer rapidement les techniques zero-days une fois qu’elles ont été détectées et corrigées par le personnel de sécurité. La souplesse des hackers montre qu’ils disposent d’une connaissance approfondie des vulnérabilités disponibles et d’un niveau de compétence élevé.
ArsTechnica rapporte que les quatre premiers zero-days ont touché les systèmes Windows et Android fonctionnant sous Chrome.
Mais les acteurs malveillants ont intensifié et élargi leur attaque au cours des huit mois suivants et ont ajouté sept vulnérabilités supplémentaires, qui visaient les ordinateurs sous Safari et iOS. Le rapport révèle également que les attaquants ont utilisé des sites de type « watering-hole » pour lancer différents exploits visant les navigateurs Web et les appareils en visite.
Les hackers étaient bien équipés
Maddie Stone, chercheur du Project Zero, a commenté les compétences exceptionnelles des hackers pour exploiter rapidement de nouvelles vulnérabilités, même après que la première ait été corrigée. « Les hackers ont une maîtrise parfaite du développement des exploits et de la vulnérabilité exploitée », a-t-il ajouté.
Dans les deux séries d’attaques, les acteurs malveillants ont redirigé leurs victimes vers une vaste infrastructure qui installait différents exploits en fonction des navigateurs et des appareils utilisés par les utilisateurs.
Après que Google a mis à jour et corrigé une vulnérabilité d’exécution de code exploitée par les hackers en février, les hackers ont immédiatement installé un nouvel exploit d’exécution de code pour le moteur Chrome V8.
Stone a déclaré que la vulnérabilité couvrait des domaines très variés, allant d’une vulnérabilité JIT moderne à un grand nombre de bogues de police ou « font bugs ». En outre, les exploits ont montré une expertise dans la découverte de vulnérabilités et le développement d’exploits, ce qui montre que les hackers sont sophistiqués dans leurs techniques.
En octobre, Project Zero a détecté certaines des vulnérabilités, notamment le type de noyau d’iOS, la divulgation de la mémoire du noyau d’iOS XNU, la lecture/écriture arbitraire de stack de Safari, le débordement de la mémoire tampon du tas de Chrome pour Android, la dépréciation de la carte du type TurboFan de Chrome, ainsi que le débordement du tampon cng.sys de Windows.
ArsTechnica a également noté que les hackers ont utilisé une chaînes d’exploits car cela était nécessaire pour passer à travers les couches de protections intégrées dans les systèmes d’exploitation plus récents.
Les chercheurs de Google ont déclaré avoir découvert un exploit d’élévation de privilèges pour iOS 13 et des exploits RCE pour iOS 11-13.
Ils ont également découvert deux chaînes partielles qui ciblent deux appareils Android différents entièrement mis à jour qui fonctionnent sous Android 10 en utilisant Samsung Browser et Google Chrome. Les attaquants ciblaient également une chaîne entièrement mise à jour de Windows 10 en utilisant Google Chrome.
On ne connaît pas encore l’identité du groupe de hackers
L’équipe de Google n’a fourni aucune information ni révélé l’identité du groupe de hackers responsable de l’attaque.
On ne sait donc pas si le groupe est nouveau et n’a jamais été lié à des attaques ou s’il s’agit d’un groupe déjà établi dans le domaine des cyberattaques. On ne sait pas non plus quel type d’utilisateurs les attaquants ont visé.
Toutefois, la sophistication de leur méthode montre qu’ils ont peut-être exploré le cyberespace avant même leurs activités de février et d’octobre.
Il est toujours important de mettre régulièrement à jour les applications et les systèmes d’exploitation pour éviter d’ouvrir les portes aux acteurs malveillants.
Apple a toujours mis à jour et corrigé les vulnérabilités de ses appareils iOS. Elle a publié le dernier correctif pour iOS 14.4.1 le 8 mars.
Malheureusement, ces méthodes de prévention n’ont peut-être pas suffi à protéger les victimes touchées par le récent piratage.
