Avec son Patch Tuesday du mois de février, Microsoft corrige 73 vulnérabilités de sécurité, dont deux vulnérabilités 0-day faisant l’objet d’une exploitation active dans des attaques : CVE-2024-21351 et CVE-2024-21412.
Ces deux vulnérabilités 0-day sont de type Security Feature Bypass. Un contournement de la fonctionnalité de sécurité dans Windows SmartScreen (détection et blocage de sites web et fichiers malveillants) et dans les fichiers de raccourcis Internet.
Dans les deux cas, Microsoft précise qu’une exploitation nécessite l’envoi d’un fichier malveillant et son ouverture par un utilisateur. De l’ingénierie sociale est ainsi en jeu.
Pour l’installation d’un RAT
La vulnérabilité CVE-2024-21351 rappelle une vulnérabilité similaire CVE-2023-36025 permettant de contourner les contrôles Windows Defender SmartScreen et les invites associées. Elle avait été corrigée lors du Patch Tuesday de novembre 2023.
Pour CVE-2024-21412, Trend Micro rapporte également un contournement de Microsoft Defender SmartScreen et une exploitation dans le cadre d’une attaque sophistiquée qui est menée par le groupe APT identifié en tant que Water Hydra (ou DarkCasino).
Les cibles sont principalement des traders des marchés financiers via des forums et des chaînes Telegram. Un fichier malveillant (graphique boursier) est diffusé et renvoie vers un site d’information de trading compromis (avec une extension russe) se faisant passer pour une plateforme légitime. L’objectif est d’installer un malware DarkMe (un cheval de Troie d’accès à distance ; RAT).