Le ransomware Black Basta aurait exploité une faille Windows en tant que zero-day !
Un nouveau rapport de Symantec laisse entendre que le gang de ransomware Black Basta aurait exploité une faille de sécurité dans Windows avant même que celle-ci soit connue et corrigée par Microsoft. Elle facilite l'élévation de privilèges sur une machine Windows. Faisons le point !
Si vous n'avez pas installé les mises à jour Windows sur vos postes de travail et serveurs depuis plusieurs mois, cet article pourrait bien vous faire changer d'avis. La faille de sécurité CVE-2024-26169, corrigée par Microsoft le 12 mars 2024 via le Patch Tuesday, aurait été exploitée en tant que zero-day par les cybercriminels de Black Basta.
Présente dans le service de signalement des erreurs de Windows (Windows Error Reporting Service), cette vulnérabilité permet à un attaquant d'élever ses privilèges en tant que "SYSTEM" sur une machine locale. C'est d'ailleurs précisé sur le site de Microsoft : "Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM."
Une faille de sécurité exploitée par le ransomware Black Basta
Bien que Microsoft considère que cette faille de sécurité n'est pas exploitée par des pirates, le dernier rapport de Symantec affirme le contraire. D'ailleurs, voici la première phrase de ce rapport : "Certains éléments suggèrent que des attaquants liés à Black Basta ont compilé l'exploit CVE-2024-26169 avant la sortie du correctif" (de Microsoft).
Récemment, les experts de Symantec ont analysé un outil d'exploitation utilisé au sein de plusieurs cyberattaques. Tout porte à croire que cet outil a été compilé et exploité bien avant que le patch de Microsoft soit disponible.
Au-delà de son fonctionnement purement technique, ce qui est intrigant, ce sont les horodatages de compilation des deux versions de l'outil d'exploitation analysées par Symantec. Le premier est daté du 27 février 2024, tandis que le second a été compilé encore plus tôt, le 18 décembre 2023. Soit entre 14 et 85 jours avant la publication du correctif de sécurité de Microsoft !
Cet horodatage est modifiable, mais Symantec pense que ce n'a pas été le cas ici : "Toutefois, dans le cas présent, les auteurs de l'attaque ne semblent guère motivés pour modifier l'horodatage à une date antérieure.", peut-on lire.
Cet exploit a été utilisé pour compromettre des machines sous Windows par l'intermédiaire de la CVE-2024-26169. Pour se protéger, il est nécessaire de mettre à jour Windows : la vulnérabilité en question a été corrigée avec les mises à jour cumulatives de mars 2024. Elle affecte Windows et Windows Server.
