Faille Windows CVE-2024-21338 : Une porte ouverte pour Lazarus suite à l’inaction de Microsoft. Plongez dans les détails de cette faille majeure.
Faille Windows CVE-2024-21338 : Une porte ouverte pour Lazarus suite à l’inaction de Microsoft. Plongez dans les détails de cette faille majeure.
Accès rapide (Sommaire) :
Ce qui étonne dans cette affaire, c’est le silence de Microsoft après la correction de cette faille critique.
L’entreprise n’a pas communiqué sur le fait que le Lazarus Group, un groupe de hackers lié à la Corée du Nord, exploitait cette vulnérabilité depuis août au moins.
Ils ont utilisé cette brèche pour installer un rootkit discret, profitant de l’accès administrateur pour interagir avec le noyau Windows.
La vulnérabilité en question, identifiée sous le nom de CVE-2024-21338, réside dans un défaut du pilote appid.sys
, intégré au service Windows AppLocker.
Ce pilote est essentiel au fonctionnement du système d’exploitation, offrant aux logiciels malveillants ayant déjà acquis des droits d’administrateur un accès facilité pour interagir avec le noyau de Windows.
Ce qui rend cette faille particulièrement redoutable, c’est son caractère discret et sa capacité à échapper aux radars des systèmes de sécurité conventionnels.
La vulnérabilité CVE-2024-21338 dans le noyau Windows a été un point de vulnérabilité majeur, affectant un éventail de versions de Windows 10, Windows 11, ainsi que Windows Server 2019 et 2022.
Cette faille d’élévation des privilèges permettait aux attaquants d’obtenir un accès inédit au niveau du noyau, échappant ainsi à la détection des logiciels de sécurité traditionnels.
La gravité de cette faille réside dans sa capacité à donner aux cybercriminels un contrôle presque total sur les systèmes infectés, leur permettant de manipuler le système d’exploitation de manière furtive et de contourner les mesures de sécurité en place.
Sa découverte et son exploitation par Avast, puis son signalement à Microsoft, ont mis en évidence la complexité croissante des menaces numériques et la nécessité d’une réponse rapide et efficace de la part des développeurs de systèmes d’exploitation.
Le groupe Lazarus, associé à la Corée du Nord, est tristement célèbre pour ses activités de cyberespionnage et d’attaques de ransomware.
Leur implication dans l’exploitation du CVE-2024-21338 depuis août 2023 démontre leur capacité continue à identifier et à utiliser des failles de sécurité de haut niveau dans des campagnes de cyberattaque sophistiquées.
Leur approche évolutive en matière de cyberattaque est mise en lumière par l’utilisation conjointe de cette vulnérabilité avec un nouveau cheval de Troie d’accès à distance (RAT), indiquant une adaptation et une diversification constantes de leurs tactiques.
La menace posée par le groupe Lazarus est un rappel que la cybersécurité est une guerre sans fin, où les défenseurs doivent sans cesse s’adapter et se renforcer face à des adversaires toujours plus ingénieux et résolus.
Les attaquants ont exploité cette faille pour installer un rootkit, nommé « FudModule », d’une furtivité remarquable. Ce rootkit leur permettait de masquer leurs activités et de contrôler les fonctions les plus profondes et sensibles du système d’exploitation.
Les rootkits, en général, nécessitent de franchir deux étapes majeures pour réussir une infiltration : obtenir des privilèges administratifs puis interagir avec le noyau du système.
Le CVE-2024-21338 offrait une voie royale pour cette seconde étape, évitant ainsi la nécessité d’utiliser des pilotes système tiers, une méthode traditionnellement plus détectable et donc risquée pour les hackers.
Cette situation tranche radicalement avec la réactivité d’autres acteurs de l’industrie tels que VMware et Citrix. Ces derniers ont été confrontés à des vulnérabilités similaires, mais ont réagi promptement en divulguant et en corrigeant ces failles.
En particulier, la vulnérabilité critique du serveur vCentre de VMware a été exploitée des mois après sa divulgation, démontrant l’importance d’une réponse rapide et transparente.
Dans ce contexte, l’attitude de Microsoft semble relever d’une ironie cruelle : alors que la compagnie est connue pour sa rigueur en matière de sécurité informatique, elle a cette fois été lente à réagir, offrant une fenêtre d’opportunité inespérée aux cybercriminels.
Les hackers, eux, ne manquent pas d’ingéniosité pour exploiter chaque faille, chaque retard, transformant chaque négligence en une opportunité de mener leurs actions malveillantes.
Le silence de Microsoft face à cette vulnérabilité critique ne peut être ignoré et soulève de sérieuses questions éthiques et morales.
En dépit de leur rôle central dans la cybersécurité mondiale, la réticence de l’entreprise à communiquer rapidement et ouvertement sur une telle faille constitue un manquement à leur responsabilité envers les utilisateurs. Cette absence de transparence va à l’encontre de toute déontologie en matière de sécurité informatique, où la confiance et la clarté sont essentielles.
Les utilisateurs, laissés dans l’ignorance, ont été involontairement exposés à des risques accrus, mettant en péril la confidentialité de leurs données et l’intégrité de leurs systèmes.
Voici une liste de mesures de protection et d’actions en cas d’attaque
Avant de se quitter…
Si cet article sur la faille de Microsoft exploitée par Lazarus vous a plu, n’hésitez pas à le partager sur les réseaux sociaux, à vous abonner à notre newsletter digitale et/ou à nous suivre sur Google Actualités pour recevoir nos prochains articles.
Vous pouvez également suivre nos meilleurs articles via notre flux RSS : https://www.leptidigital.fr/tag/newsletter-digitale/feed/ (il vous suffit de l’insérer dans votre lecteur de flux RSS préféré (ex : Feedly)).
Nous sommes aussi actifs sur LinkedIn, X, Facebook, Threads et YouTube. On s’y retrouve ?
À l’heure actuelle, je me consacre au journalisme avec une spécialisation en cybersécurité, intelligence artificielle et culture internet, tout en nourrissant un vif intérêt pour les domaines relatifs aux sciences humaines. Mon objectif principal est d’éclaircir et rendre accessible des sujets fréquemment perçus comme obscures ou complexes. Pour me contacter : [email protected]