Le mot ZERO-DAY est caché au milieu d'un écran rempli de uns et de zéros.

Microsoft a déclaré mercredi qu’une société autrichienne nommée DSIRF utilisé plusieurs jours zéro Windows et Adobe Reader pour pirater des organisations situées en Europe et en Amérique centrale.

Plusieurs organes de presse ont publié des posts comme celui-ciqui citait matériel promotionnel et d’autres preuves reliant DSIRF à Subzero, un ensemble d’outils malveillants pour “l’exfiltration automatisée de données sensibles/privées” et “des opérations d’accès sur mesure [including] identification, suivi et infiltration des menaces.

Les membres du Microsoft Danger Intelligence Centre, ou MSTIC, ont déclaré avoir trouvé des infections de logiciels malveillants Subzero propagées par diverses méthodes, y compris l’exploitation de ce qui était à l’époque des zéro-jours Home windows et Adobe Reader, ce qui signifie que les attaquants connaissaient les vulnérabilités avant. Microsoft et Adobe l’ont fait. Les cibles des attaques observées à ce jour comprennent des cupboards d’avocats, des banques et des cupboards de conseil en stratégie dans des pays tels que l’Autriche, le Royaume-Uni et le Panama, bien que ce ne soient pas nécessairement les pays dans lesquels résidaient les purchasers du DSIRF qui ont payé pour l’attaque.

“MSTIC a trouvé plusieurs liens entre DSIRF et les exploits et logiciels malveillants utilisés dans ces attaques”, ont écrit les chercheurs de Microsoft. “Il s’agit notamment de l’infrastructure de commande et de contrôle utilisée par le logiciel malveillant directement lié à DSIRF, d’un compte GitHub associé à DSIRF utilisé dans une attaque, d’un certificat de signature de code délivré à DSIRF utilisé pour signer un exploit et d’autres reportages open up resource. attribuant Subzero à DSIRF.

Microsoft

Un e-mail envoyé à DSIRF sollicitant un commentaire n’a pas été renvoyé.

Le information de mercredi est le dernier à s’attaquer au fléau des logiciels espions mercenaires vendus par des sociétés privées. Le groupe NSO, basé en Israël, est l’exemple le plus connu d’une entreprise à but lucratif vendant des exploits coûteux qui compromettent souvent les appareils appartenant à des journalistes, des avocats et des militants. Un autre mercenaire basé en Israël nommé Candiru a été présenté par Microsoft et le Citizen Lab de l’Université de Toronto l’année dernière et a récemment été surpris en prepare d’orchestrer des campagnes de phishing au nom de clientele qui pourraient contourner l’authentification à deux facteurs.

Mercredi également, la commission spéciale permanente sur le renseignement de la Chambre des représentants des États-Unis a tenu une audition sur le prolifération de logiciels espions commerciaux étrangers. L’un des orateurs était la fille d’un ancien directeur d’hôtel au Rwanda qui a été emprisonné après avoir sauvé des centaines de vies et dénoncé le génocide qui avait eu lieu. Elle a raconté l’expérience d’avoir son téléphone piraté avec le logiciel espion NSO le même jour, elle a rencontré le ministre belge des affaires étrangères.

Se référant à DSIRF en utilisant le travail KNOTWEED, les chercheurs de Microsoft ont écrit :

En mai 2022, MSTIC a découvert une exécution de code à length (RCE) d’Adobe Reader et une chaîne d’exploitation d’escalade de privilèges Home windows de jour utilisée dans une attaque qui a conduit au déploiement de Subzero. Les exploits ont été regroupés dans un doc PDF qui a été envoyé à la victime par e-mail. Microsoft n’a pas été en mesure d’acquérir la partie PDF ou Adobe Reader RCE de la chaîne d’exploit, mais la edition d’Adobe Reader de la victime a été publiée en janvier 2022, ce qui signifie que l’exploit utilisé était soit un exploit d’un jour développé entre janvier et mai, soit un Exploit -day. Sur la base de l’utilisation intensive par KNOTWEED d’autres -times, nous évaluons avec une confiance moyenne qu’Adobe Reader RCE est un exploit -day. L’exploit Home windows a été analysé par MSRC, s’est avéré être un exploit -working day, puis corrigé en juillet 2022 en tant que CVE-2022-22047. Fait intéressant, il y avait des indications dans le code d’exploitation Windows qu’il a également été conçu pour être utilisé à partir de navigateurs basés sur Chromium, bien que nous n’ayons vu aucune preuve d’attaques basées sur le navigateur.

La vulnérabilité CVE-2022-22047 est liée à un problème avec contexte d’activation mise en cache dans le sous-système d’exécution client-serveur (CSRSS) sous Windows. À un niveau élevé, la vulnérabilité pourrait permettre à un attaquant de fournir un manifeste d’assembly spécialement conçu, qui créerait un contexte d’activation malveillant dans le cache de contexte d’activation, pour un processus arbitraire. Ce contexte mis en cache est utilisé la prochaine fois que le processus est généré.

CVE-2022-22047 a été utilisé dans des attaques liées à KNOTWEED pour l’élévation de privilèges. La vulnérabilité a également permis d’échapper aux bacs à sable (avec quelques mises en garde, comme indiqué ci-dessous) et d’exécuter du code au niveau du système. La chaîne d’exploitation commence par l’écriture d’une DLL malveillante sur le disque à partir du processus de rendu d’Adobe Reader en bac à sable. L’exploit CVE-2022-22047 a ensuite été utilisé pour cibler un processus système en fournissant un manifeste d’application avec un attribut non documenté qui spécifiait le chemin de la DLL malveillante. Ensuite, lors de la prochaine apparition du processus système, l’attribut dans le contexte d’activation malveillant a été utilisé, la DLL malveillante a été chargée à partir du chemin donné et l’exécution du code au niveau du système a été réalisée.

Le concept de mercredi fournit également des indicateurs détaillés de compromission que les lecteurs peuvent utiliser pour déterminer s’ils ont été ciblés par le DSIRF.

Microsoft a utilisé le terme PSOA – abréviation d’acteur offensif du secteur privé – pour décrire les cybermercenaires comme DSIRF. La société a déclaré que la plupart des PSOA fonctionnent selon l’un ou les deux modèles. Le premier, l’accès en tant que service, vend des outils de piratage complets de bout en bout aux purchasers pour une utilisation dans leurs propres opérations. Dans l’autre modèle, hack-for-use, le PSOA réalise lui-même les opérations ciblées.

“Sur la foundation des attaques observées et des reportages, MSTIC pense que KNOTWEED peut mélanger ces modèles : ils vendent le malware Subzero à des tiers, mais ont également été observés en utilisant l’infrastructure associée à KNOTWEED dans certaines attaques, suggérant une implication in addition directe”, ont écrit les chercheurs de Microsoft.