Scattered Spider utilise cette vieille astuce pour contourner les protections de sécurité

Scattered Spider utilise cette vieille astuce pour contourner les protections de sécurité


Des cybercriminels exploitent une ancienne vulnérabilité dans les pilotes Intel pour tenter d’accéder aux réseaux de façon à contourner les protections de cybersécurité.

Les attaques ont été détaillées par les chercheurs en cybersécurité de Crowdstrike, qui suggèrent que la campagne visant les systèmes Windows est l’œuvre d’un groupe de cybercriminels qu’ils suivent sous le nom de Scattered Spider – également connu sous les noms de Roasted 0ktapus et UNC3944.

Scattered Spider est une opération de cybercriminalité à motivation financière qui, selon les chercheurs, s’intéresse particulièrement aux secteurs des télécommunications et de l’externalisation des activités, dans le but d’accéder aux réseaux des opérateurs mobiles.

La méthode « Bring Your Own Vulnerable Driver »

Les attaquants accèdent d’abord aux réseaux en utilisant des attaques de phishing par SMS pour voler les noms d’utilisateur et les mots de passe. Dans certains cas, les attaquants ont utilisé cet accès pour obtenir d’autres informations d’identification, tandis que le groupe se livrerait également à des attaques par échange de cartes SIM.

Une fois à l’intérieur d’un réseau, Scattered Spider utilise une technique que Crowdstrike décrit comme « Bring Your Own Vulnerable Driver », qui cible les failles de la sécurité de Windows.

Alors que Microsoft tente de limiter les capacités des logiciels malveillants à accéder aux systèmes en empêchant l’exécution par défaut de pilotes en mode noyau non signés, les attaquants peuvent contourner ce problème avec la méthode « Bring Your Own Vulnerable Driver », qui leur permet d’installer un pilote légitimement signé mais malveillant pour mener des attaques.

Les certificats légitimement signés peuvent être volés, ou les attaquants trouvent des solutions de contournement qui leur permettent d’auto-signer leurs propres certificats. Mais quelle que soit la façon dont ils les obtiennent, ils peuvent ensuite exécuter et installer secrètement leurs propres pilotes sur les systèmes pour désactiver les produits de sécurité et dissimuler leur activité.

L’une des façons de réaliser cette opération aussi furtivement que possible consiste à ne pas utiliser de logiciels malveillants, mais à installer une série d’outils d’accès à distance légitimes pour assurer la persistance sur le système compromis.

Pilotes vulnérables

Selon l’analyse de Crowdstrike, les attaquants diffusent des pilotes de
noyau malveillants par le biais d’une vulnérabilité dans le pilote de
diagnostic Intel Ethernet pour Windows (repérée comme CVE-2015-2291). Comme le suggère le numéro d’identification, la vulnérabilité est ancienne, mais les cybercriminels sont toujours en mesure de l’exploiter sur des systèmes lorsque la mise à jour de sécurité qui comble la vulnérabilité n’a pas été appliquée.

« Donner la priorité à l’application de correctifs aux pilotes vulnérables peut aider à atténuer ce vecteur d’attaque et d’autres similaires impliquant l’abus de pilotes signés », préviennent les chercheurs.

Les outils que les attaquants ont tenté de contourner comprennent Microsoft Defender for Endpoint, Cortex XDR et SentinelOne, ainsi que le produit de sécurité Falcon de Crowdstrike. Les chercheurs de Crowdstrike affirment que Falcon a détecté et empêché l’activité malveillante lorsque les attaquants ont tenté d’installer et d’exécuter leur propre code.

Microsoft a déjà averti que « de plus en plus, les adversaires exploitent les pilotes légitimes de l’écosystème et leurs vulnérabilités de sécurité pour exécuter des logiciels malveillants » et, bien que l’entreprise prenne des mesures pour empêcher les abus, la technique d’attaque fonctionne toujours.

Règles de sécurité

La campagne Scattered Spider semble cibler un ensemble spécifique d’industries, mais Crowdstrike recommande aux équipes informatiques et de cybersécurité de toutes les industries de s’assurer que leurs réseaux sont protégés contre les attaques, par exemple en s’assurant que l’ancien patch de sécurité a été appliqué.

Microsoft fournit également des conseils sur les règles recommandées pour le blocage des pilotes afin d’aider à renforcer les services. Mais l’entreprise prévient que le blocage des pilotes peut entraîner un dysfonctionnement des appareils ou des logiciels, et — dans de rares cas — conduire à un écran bleu. La liste de blocage des pilotes vulnérables ne garantit pas le blocage de tous les pilotes présentant des vulnérabilités.

Source : ZDNet.com





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.