Kaspersky Lab découvre la faille de Windows exploitée par des criminels inconnus
Publié le 18/04/2019 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Utrecht, le 18 avril 2019 – Kaspersky Lab vient d’identifier une faille critique inconnue dans le logiciel Windows de Microsoft. Un groupe de cybercriminels - non encore identifié - a essayé de prendre le contrôle d’un ordinateur via cette faille. L’attaque s’est concentrée sur le cœur du système d’exploitation par lequel les criminels ont accédé via une porte dérobée à une partie essentielle du SE de Windows. Kaspersky Lab a signalé la faille à Microsoft qui, dans l’intervalle, a pris des mesures.

La technologie « Exploit Prevention » de Kaspersky Lab a réussi à empêcher une tentative d’intrusion via la faille dans Microsoft Windows. Le scénario d’attaque détecté est le suivant: pour commencer, un fichier .exe dangereux lance l’installation du logiciel malveillant. L’infection exploite la faille jour zéro et des privilèges obtenus pour rentrer dans le système de la victime. Ensuite, le logiciel malveillant lance une porte dérobée créée avec un élément de Windows légitime présent sur toutes les machines Windows. C’est le framework de script Windows PowerShell. Ainsi, les cybercriminels passent inaperçus et ont le temps d’écrire le code pour des outils malveillants. Ensuite, le logiciel malveillant télécharge une autre porte dérobée d’un service de stockage de texte légitime. De cette façon les cybercriminels prennent le contrôle de tout le système infecté.

Les portes dérobées sont un type très dangereux de logiciel malveillant. Par ce moyen, les cybercriminels ont l’occasion de contrôler les systèmes infectés en toute discrétion. De manière générale, il est difficile de dissimuler de telles violations aux solutions de sécurité. Fort logiquement, une porte dérobée qui utilise un bug non découvert dans le système, la « faille du jour zéro », a beaucoup plus de chance de rester inaperçue. Par conséquent, les utilisateurs ne sont pas protégés contre ces menaces encore inconnues.

« Dans le cas de telles attaques, nous distinguons entre deux éléments importants que nous rencontrons plus souvent lors de cyber-attaques très ciblées », déclare Jornt van der Wiel, expert en cybersécurité chez Kaspersky Lab. « Dans un premier temps, les exploits qui reprennent des privilèges locaux, de telle sorte que le logiciel malveillant puisse se nicher dans le système. Ensuite, les frameworks légitimes tels que Windows PowerShell utilisés pour déclencher les activités malveillantes sur la machine. À la faveur de cette combinaison, les auteurs de menace contournent les solutions de sécurité standard. Il est dès lors important que les logiciels de cybersécurité soient équipés de fonctions qui pallient de telles techniques. »

Les produits Kaspersky Lab détectent l’exploit sous les noms suivants :

HEUR:Exploit.Win32.Generic
HEUR:Trojan.Win32.Generic
PDM:Exploit.Win32.Generic


La faille de sécurité a désormais été signalée. Le 10 avril, Microsoft a mis à jour sa sécurité avec une nouveau patch.

Poster un commentaire
Vous devez être identifié pour accéder à cette fonctionnalité

Utilisateur
Mot de passe
 
Informaticien.be - © 2002-2024 AkretioSPRL  - Generated via Kelare
The Akretio Network: Akretio - Freedelity - KelCommerce - Votre publicité sur informaticien.be ?