Actus

Windows zero-day exploité dans des attaques de phishing du gouvernement local américain

Par , le 9 juin 2022 - 3 minutes de lecture
Windows zero-day exploité dans des attaques de phishing du gouvernement local américain
Notez l'article

Les gouvernements européens et les gouvernements locaux américains ont été la cible d’une campagne de phishing utilisant des documents malveillants au format RTF (Rich Text Format) conçus pour exploiter une vulnérabilité critique Windows Zero Day connue sous le nom de Follina.

BleepingComputer a connaissance des gouvernements locaux d’au moins deux États américains qui ont été ciblés par cette campagne d’hameçonnage.

“Proofpoint a bloqué une campagne de phishing alignée sur l’état suspectée ciblant moins de 10 clients Proofpoint (gouvernement européen et gouvernement américain local) tentant d’exploiter Follina/CVE_2022_30190”, ont révélé des chercheurs en sécurité de la société de sécurité d’entreprise Proofpoint.

Les attaquants ont utilisé des promesses d’augmentation de salaire pour inciter les employés à ouvrir les documents leurres, ce qui déploierait un script Powershell comme charge utile finale.

Ceci est utilisé pour vérifier si le système est une machine virtuelle, voler des informations de plusieurs navigateurs Web, clients de messagerie et services de fichiers, et collecter des informations système qui sont exfiltrées vers un serveur contrôlé par un attaquant.

Comme BleepingComputer l’a découvert lors de la vérification de la charge utile PowerShell finale de cette attaque, les acteurs de la menace récoltent de grandes quantités d’informations révélant la nature de l’attaque de reconnaissance de cette campagne puisque les données collectées peuvent être utilisées pour un accès initial :

“Alors que Proofpoint soupçonne que cette campagne est menée par un acteur aligné sur l’État sur la base à la fois de la reconnaissance étendue du Powershell et de la concentration étroite du ciblage, nous ne l’attribuons pas actuellement à un TA numéroté”, ont déclaré les chercheurs en sécurité.

La faille de sécurité exploitée dans ces attaques est identifiée comme CVE-2022-30190 et a été décrite par Redmond comme un bogue d’exécution de code à distance de Microsoft Windows Support Diagnostic Tool (MSDT).

CVE-2022-30190 n’est toujours pas corrigé et affecte toutes les versions de Windows recevant encore des mises à jour de sécurité (c’est-à-dire Windows 7+ et Server 2008+).

S’il est exploité avec succès, ce zero-day peut être utilisé pour exécuter du code arbitraire avec les privilèges de l’application appelante pour installer des programmes, afficher, modifier, supprimer des données ou créer de nouveaux comptes Windows.

Proofpoint a également révélé la semaine dernière que le groupe de piratage TA413 lié à la Chine exploite désormais la vulnérabilité des attaques ciblant sa cible préférée, la communauté tibétaine internationale.

Le chercheur en sécurité MalwareHunterTeam a également repéré des documents malveillants avec des noms de fichiers chinois utilisés pour déployer des chevaux de Troie voleurs de mots de passe.

Cependant, les premières attaques ciblant ce zero-day ont été repérées il y a plus d’un mois, utilisant des menaces de sextorsion et des invitations à des interviews de Sputnik Radio comme appâts.

Bien que Microsoft n’ait pas encore publié les correctifs CVE-2022-30190, la CISA a exhorté les administrateurs et les utilisateurs Windows à désactiver le protocole MSDT abusé dans ces attaques après que Microsoft a signalé l’exploitation active du bogue dans la nature.

Jusqu’à ce que Microsoft publie des mises à jour de sécurité officielles, vous pouvez corriger vos systèmes contre ces attaques en cours à l’aide de correctifs non officiels publiés par le service de microcorrection 0patch.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.