NEWS #Digitale : envie de recevoir nos meilleurs articles ?  Inscription → 

Ces hackers nord-coréens exploitent une faille de Microsoft depuis 6 mois

Faille Windows CVE-2024-21338 : Une porte ouverte pour Lazarus suite à l’inaction de Microsoft. Plongez dans les détails de cette faille majeure.

L’histoire récente de la cybersécurité a été marquée par un événement particulièrement préoccupant : la découverte par Avast d’une vulnérabilité critique du noyau Windows, identifiée sous le nom de CVE-2024-21338, et laissée non corrigée par Microsoft pendant six mois, malgré une exploitation active par le groupe de hackers Lazarus, soutenu par le gouvernement nord-coréen.
Hackers

Le silence de Microsoft : Une aubaine pour les hackers nord-coréens

Ce qui étonne dans cette affaire, c’est le silence de Microsoft après la correction de cette faille critique.

L’entreprise n’a pas communiqué sur le fait que le Lazarus Group, un groupe de hackers lié à la Corée du Nord, exploitait cette vulnérabilité depuis août au moins.

Ils ont utilisé cette brèche pour installer un rootkit discret, profitant de l’accès administrateur pour interagir avec le noyau Windows.

La vulnérabilité en question, identifiée sous le nom de CVE-2024-21338, réside dans un défaut du pilote appid.sys, intégré au service Windows AppLocker.

Ce pilote est essentiel au fonctionnement du système d’exploitation, offrant aux logiciels malveillants ayant déjà acquis des droits d’administrateur un accès facilité pour interagir avec le noyau de Windows.

Ce qui rend cette faille particulièrement redoutable, c’est son caractère discret et sa capacité à échapper aux radars des systèmes de sécurité conventionnels.

Détails sur la vulnérabilité CVE-2024-21338

La vulnérabilité CVE-2024-21338 dans le noyau Windows a été un point de vulnérabilité majeur, affectant un éventail de versions de Windows 10, Windows 11, ainsi que Windows Server 2019 et 2022.

Cette faille d’élévation des privilèges permettait aux attaquants d’obtenir un accès inédit au niveau du noyau, échappant ainsi à la détection des logiciels de sécurité traditionnels.

La gravité de cette faille réside dans sa capacité à donner aux cybercriminels un contrôle presque total sur les systèmes infectés, leur permettant de manipuler le système d’exploitation de manière furtive et de contourner les mesures de sécurité en place.

Sa découverte et son exploitation par Avast, puis son signalement à Microsoft, ont mis en évidence la complexité croissante des menaces numériques et la nécessité d’une réponse rapide et efficace de la part des développeurs de systèmes d’exploitation.

Le groupe Lazarus

Le groupe Lazarus, associé à la Corée du Nord, est tristement célèbre pour ses activités de cyberespionnage et d’attaques de ransomware.

Leur implication dans l’exploitation du CVE-2024-21338 depuis août 2023 démontre leur capacité continue à identifier et à utiliser des failles de sécurité de haut niveau dans des campagnes de cyberattaque sophistiquées.

Leur approche évolutive en matière de cyberattaque est mise en lumière par l’utilisation conjointe de cette vulnérabilité avec un nouveau cheval de Troie d’accès à distance (RAT), indiquant une adaptation et une diversification constantes de leurs tactiques.

La menace posée par le groupe Lazarus est un rappel que la cybersécurité est une guerre sans fin, où les défenseurs doivent sans cesse s’adapter et se renforcer face à des adversaires toujours plus ingénieux et résolus.

Le modus operandi des Hackers

Les attaquants ont exploité cette faille pour installer un rootkit, nommé « FudModule », d’une furtivité remarquable. Ce rootkit leur permettait de masquer leurs activités et de contrôler les fonctions les plus profondes et sensibles du système d’exploitation.

Les rootkits, en général, nécessitent de franchir deux étapes majeures pour réussir une infiltration : obtenir des privilèges administratifs puis interagir avec le noyau du système.

Le CVE-2024-21338 offrait une voie royale pour cette seconde étape, évitant ainsi la nécessité d’utiliser des pilotes système tiers, une méthode traditionnellement plus détectable et donc risquée pour les hackers.

Un contraste frappant avec VMware et Citrix

Cette situation tranche radicalement avec la réactivité d’autres acteurs de l’industrie tels que VMware et Citrix. Ces derniers ont été confrontés à des vulnérabilités similaires, mais ont réagi promptement en divulguant et en corrigeant ces failles.

En particulier, la vulnérabilité critique du serveur vCentre de VMware a été exploitée des mois après sa divulgation, démontrant l’importance d’une réponse rapide et transparente.

L’ironie de la Cybersécurité

Dans ce contexte, l’attitude de Microsoft semble relever d’une ironie cruelle : alors que la compagnie est connue pour sa rigueur en matière de sécurité informatique, elle a cette fois été lente à réagir, offrant une fenêtre d’opportunité inespérée aux cybercriminels.

Les hackers, eux, ne manquent pas d’ingéniosité pour exploiter chaque faille, chaque retard, transformant chaque négligence en une opportunité de mener leurs actions malveillantes.

Le silence de Microsoft : une question de déontologie et de morale

Le silence de Microsoft face à cette vulnérabilité critique ne peut être ignoré et soulève de sérieuses questions éthiques et morales.

En dépit de leur rôle central dans la cybersécurité mondiale, la réticence de l’entreprise à communiquer rapidement et ouvertement sur une telle faille constitue un manquement à leur responsabilité envers les utilisateurs. Cette absence de transparence va à l’encontre de toute déontologie en matière de sécurité informatique, où la confiance et la clarté sont essentielles.

Les utilisateurs, laissés dans l’ignorance, ont été involontairement exposés à des risques accrus, mettant en péril la confidentialité de leurs données et l’intégrité de leurs systèmes.

Comment les utilisateurs peuvent-ils se protéger et réagir ?

Voici une liste de mesures de protection et d’actions en cas d’attaque

  1. Mise à jour immédiate : Pour se protéger, les utilisateurs doivent s’assurer que leur système d’exploitation est à jour. Les correctifs de sécurité publiés par Microsoft doivent être appliqués dès que possible. Vérifiez régulièrement les mises à jour via le système Windows Update.
  2. Vérification des systèmes : Si vous soupçonnez une infection, effectuez une analyse complète du système à l’aide d’un logiciel antivirus fiable. Soyez particulièrement vigilant à toute activité inhabituelle ou tout processus suspect sur votre système.
  3. Sauvegarde des données : Effectuez régulièrement des sauvegardes de vos données importantes. En cas de compromission, cela permettra de restaurer vos informations sans perte majeure.
  4. Sensibilisation et prudence : Soyez conscient des risques et adoptez un comportement prudent en ligne. Évitez de cliquer sur des liens ou d’ouvrir des pièces jointes provenant de sources inconnues ou non fiables.
  5. Rapport d’incidents : En cas de découverte d’un malware ou d’une exploitation suspecte, signalez-le immédiatement aux autorités compétentes et à Microsoft. Cela peut aider à prévenir de futures attaques et à renforcer la sécurité globale.
  6. Utilisation de solutions de sécurité avancées : Envisagez d’investir dans des solutions de sécurité plus avancées qui offrent une protection contre les rootkits et autres menaces sophistiquées.

Avant de se quitter…

Si cet article sur la faille de Microsoft exploitée par Lazarus vous a plu, n’hésitez pas à le partager sur les réseaux sociaux, à vous abonner à notre newsletter digitale et/ou à nous suivre sur Google Actualités pour recevoir nos prochains articles.

Vous pouvez également suivre nos meilleurs articles via notre flux RSS : https://www.leptidigital.fr/tag/newsletter-digitale/feed/ (il vous suffit de l’insérer dans votre lecteur de flux RSS préféré (ex : Feedly)).

Nous sommes aussi actifs sur LinkedIn, X, Facebook, Threads et YouTube. On s’y retrouve ?

Un avis ? post

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *