18 mars 2025Ravie LakshmananVulnérabilité / sécurité Windows

Une faille de sécurité non corrigée ayant un impact sur Microsoft Windows a été exploitée par 11 groupes parrainés par l’État de Chine, d’Iran, de Corée du Nord et de la Russie dans le cadre du vol de données, de l’espionnage et des campagnes motivées financièrement qui remontent à 2017.

La vulnérabilité zéro-jour, suivie par l’initiative Zero Day (ZDI) de Trend Micro ZDI-CAN-25373fait référence à un problème qui permet aux mauvais acteurs d’exécuter des commandes malveillantes cachées sur la machine d’une victime en tirant parti des fichiers de raccourci Windows ou de lien de shell (.lnk).

“Les attaques exploitent les arguments de ligne de commande cachés dans les fichiers .lnk pour exécuter des charges utiles malveillantes, compliquant la détection”, chercheurs en sécurité Peter Girnus et Aliakbar Zahravi dit Dans une analyse partagée avec les hacker News. “L’exploitation du ZDI-CAN-25373 expose les organisations à des risques importants de vol de données et de cyber-espionnage.”

Cybersécurité

Plus précisément, cela implique le rembourrage des arguments avec les caractères de flux de ligne ( x0a) et de retour ( x0d) pour échapper à la détection.

Près d’un 1 000 artefacts de fichiers .lnk exploitant ZDI-CAN-25373 ont été déterrés à ce jour, avec une majorité des échantillons liés à Evil Corp (Water Asena), Kimsuky (Earth Kumiho), Konni (Earth Imp), Bitter (Earth Anansi) et Scarcruft (Earth Manticore).

Sur les 11 acteurs de menace parrainés par l’État qui ont été trouvés abusant de la faille, près de la moitié d’entre eux proviennent de la Corée du Nord. En plus d’exploiter la faille à divers moments, la constatation sert d’indication de la collaboration croisée parmi les différents grappes de menaces opérant dans le cyberpositif de Pyongyang.

Les données de télémétrie indiquent que les gouvernements, les entités privées, les organisations financières, les groupes de réflexion, les fournisseurs de services de télécommunications et les agences militaires / de défense situées aux États-Unis, au Canada, en Russie, en Corée du Sud, au Vietnam et au Brésil sont devenues les principales cibles d’attaques exploitant la vulnérabilité.

Dans les attaques disséquées par ZDI, les fichiers .lnk agissent comme un véhicule de livraison pour des familles de logiciels malveillants connues comme Lumma Stealer, Guloader et Remcos Rat, entre autres. Parmi ces campagnes, l’exploitation du ZDI-CAN-25373 par Evil Corp pour distribuer Raspberry Robin.

Cybersécurité

Microsoft, pour sa part, a classé le problème comme une faible gravité et ne prévoit pas de publier un correctif.

“Le ZDI-CAN-25373 est un exemple de (interface utilisateur (UI) fausse représentation d’informations critiques (CWE-451)”, ont déclaré les chercheurs. “Cela signifie que l’interface utilisateur de Windows n’a pas présenté à l’utilisateur des informations critiques.”

“En exploitant ZDI-CAN-25373, l’acteur de menace peut empêcher l’utilisateur final de visualiser les informations critiques (commandes en cours d’exécution) liées à l’évaluation du niveau de risque du fichier.”

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57