{"id":282953,"date":"2022-07-28T14:23:27","date_gmt":"2022-07-28T16:23:27","guid":{"rendered":"https:\/\/teknomers.com\/fr\/microsoft-decouvre-une-societe-autrichienne-exploitant-windows-et-adobe-zero-day-exploits\/"},"modified":"2022-07-28T14:23:28","modified_gmt":"2022-07-28T16:23:28","slug":"microsoft-decouvre-une-societe-autrichienne-exploitant-windows-et-adobe-zero-day-exploits","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/microsoft-decouvre-une-societe-autrichienne-exploitant-windows-et-adobe-zero-day-exploits\/","title":{"rendered":"Microsoft d\u00e9couvre une soci\u00e9t\u00e9 autrichienne exploitant Windows et Adobe Zero-Day Exploits"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un cybermercenaire qui &#8220;vendait ostensiblement des services g\u00e9n\u00e9raux de s\u00e9curit\u00e9 et d&#8217;analyse d&#8217;informations \u00e0 des clients commerciaux&#8221; a utilis\u00e9 plusieurs exploits Windows et Adobe zero-day dans des attaques limit\u00e9es et tr\u00e8s cibl\u00e9es contre des entit\u00e9s europ\u00e9ennes et d&#8217;Am\u00e9rique centrale.<\/p>\n<p>La soci\u00e9t\u00e9, que Microsoft d\u00e9crit comme un acteur offensif du secteur priv\u00e9 (PSOA), est une soci\u00e9t\u00e9 bas\u00e9e en Autriche appel\u00e9e <a rel=\"nofollow noopener\" href=\"https:\/\/web.archive.org\/web\/20220713203741\/https:\/dsirf.eu\/about\/\" target=\"_blank\">DSIRF<\/a> qui est li\u00e9 au d\u00e9veloppement et \u00e0 la tentative de vente d&#8217;une pi\u00e8ce d&#8217;arme cybern\u00e9tique appel\u00e9e <b>Sous z\u00e9ro<\/b>qui peut \u00eatre utilis\u00e9 pour pirater les t\u00e9l\u00e9phones, les ordinateurs et les appareils connect\u00e9s \u00e0 Internet des cibles.<\/p>\n<p>&#8220;Les victimes observ\u00e9es \u00e0 ce jour comprennent des cabinets d&#8217;avocats, des banques et des consultants strat\u00e9giques dans des pays tels que l&#8217;Autriche, le Royaume-Uni et le Panama&#8221;, ont d\u00e9clar\u00e9 les \u00e9quipes de cybers\u00e9curit\u00e9 du g\u00e9ant de la technologie. <a rel=\"nofollow noopener\" href=\"https:\/\/www.microsoft.com\/security\/blog\/2022\/07\/27\/untangling-knotweed-european-private-sector-offensive-actor-using-0-day-exploits\/\" target=\"_blank\">a dit<\/a> dans un rapport de mercredi.<\/p>\n<p>Microsoft est <a rel=\"nofollow noopener\" href=\"https:\/\/blogs.microsoft.com\/on-the-issues\/2022\/07\/27\/private-sector-cyberweapons-psoas-knotweed\/\" target=\"_blank\">suivi<\/a> l&#8217;acteur sous le nom de KNOTWEED, poursuivant sa tendance \u00e0 nommer les PSOA en utilisant les noms donn\u00e9s aux arbres et arbustes.  La soci\u00e9t\u00e9 avait pr\u00e9c\u00e9demment d\u00e9sign\u00e9 le nom SOURGUM pour le fournisseur isra\u00e9lien de logiciels espions Candiru.<\/p>\n<p>KNOTWEED est connu pour se lancer \u00e0 la fois dans des op\u00e9rations d&#8217;acc\u00e8s en tant que service et de piratage pour compte d&#8217;autrui, offrant son ensemble d&#8217;outils \u00e0 des tiers et s&#8217;associant directement \u00e0 certaines attaques.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/Une-nouvelle-etude-revele-que-la-plupart-des-fournisseurs-dentreprise.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Alors que le premier implique la vente d&#8217;outils de piratage de bout en bout qui peuvent \u00eatre utilis\u00e9s par l&#8217;acheteur dans ses propres op\u00e9rations sans l&#8217;implication de l&#8217;acteur offensif, les groupes de hack-for-hire g\u00e8rent les op\u00e9rations cibl\u00e9es pour le compte de leurs clients.<\/p>\n<p>On dit que le d\u00e9ploiement de Subzero se produit par l&#8217;exploitation de plusieurs probl\u00e8mes, y compris une cha\u00eene d&#8217;exploitation qui exploite une faille d&#8217;ex\u00e9cution de code \u00e0 distance (RCE) d&#8217;Adobe Reader et un bogue d&#8217;escalade de privil\u00e8ges de z\u00e9ro jour (CVE-2022-22047), ce dernier d&#8217;entre eux. qui a \u00e9t\u00e9 abord\u00e9 par Microsoft dans le cadre de ses mises \u00e0 jour du Patch Tuesday de juillet.<\/p>\n<p>&#8220;CVE-2022-22047 a \u00e9t\u00e9 utilis\u00e9 dans les attaques li\u00e9es \u00e0 KNOTWEED pour l&#8217;\u00e9l\u00e9vation des privil\u00e8ges. La vuln\u00e9rabilit\u00e9 a \u00e9galement permis d&#8217;\u00e9chapper aux bacs \u00e0 sable et d&#8217;ex\u00e9cuter du code au niveau du syst\u00e8me&#8221;, a expliqu\u00e9 Microsoft.<\/p>\n<p>Des cha\u00eenes d&#8217;attaques similaires observ\u00e9es en 2021 ont exploit\u00e9 une combinaison de deux exploits d&#8217;escalade de privil\u00e8ges Windows (CVE-2021-31199 et CVE-2021-31201) en conjonction avec une faille Adobe Reader (CVE-2021-28550).  Les trois vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 r\u00e9solues en juin 2021.<\/p>\n<p>Le d\u00e9ploiement de Subzero s&#8217;est ensuite produit via un quatri\u00e8me exploit, cette fois en profitant d&#8217;une vuln\u00e9rabilit\u00e9 d&#8217;escalade de privil\u00e8ges dans le service Windows Update Medic (CVE-2021-36948), qui a \u00e9t\u00e9 ferm\u00e9 par Microsoft en ao\u00fbt 2021.<\/p>\n<p>Au-del\u00e0 de ces cha\u00eenes d&#8217;exploitation, des fichiers Excel se faisant passer pour des documents immobiliers ont \u00e9t\u00e9 utilis\u00e9s comme conduit pour diffuser le logiciel malveillant, les fichiers contenant des macros Excel 4.0 con\u00e7ues pour lancer le processus d&#8217;infection.<\/p>\n<p>Quelle que soit la m\u00e9thode employ\u00e9e, les intrusions aboutissent \u00e0 l&#8217;ex\u00e9cution d&#8217;un shellcode, qui est utilis\u00e9 pour r\u00e9cup\u00e9rer une charge utile de deuxi\u00e8me \u00e9tape appel\u00e9e Corelump \u00e0 partir d&#8217;un serveur distant sous la forme d&#8217;une image JPEG qui embarque \u00e9galement un chargeur nomm\u00e9 Jumplump qui, \u00e0 son tour, charge Corelump en m\u00e9moire.<\/p>\n<p>L&#8217;implant \u00e9vasif est livr\u00e9 avec un large \u00e9ventail de fonctionnalit\u00e9s, notamment l&#8217;enregistrement de frappe, la capture de captures d&#8217;\u00e9cran, l&#8217;exfiltration de fichiers, l&#8217;ex\u00e9cution d&#8217;un shell distant et l&#8217;ex\u00e9cution de plug-ins arbitraires t\u00e9l\u00e9charg\u00e9s \u00e0 partir du serveur distant.<\/p>\n<p>Des utilitaires sur mesure comme Mex, un outil de ligne de commande pour ex\u00e9cuter des plugins de s\u00e9curit\u00e9 open source comme Chisel, et PassLib, un outil pour vider les informations d&#8217;identification des navigateurs Web, des clients de messagerie et du gestionnaire d&#8217;informations d&#8217;identification Windows, ont \u00e9galement \u00e9t\u00e9 d\u00e9ploy\u00e9s pendant les attaques.<\/p>\n<p>Microsoft a d\u00e9clar\u00e9 avoir d\u00e9couvert que KNOTWEED servait activement des logiciels malveillants depuis f\u00e9vrier 2020 via une infrastructure h\u00e9berg\u00e9e sur DigitalOcean et Choopa, en plus d&#8217;identifier les sous-domaines utilis\u00e9s pour le d\u00e9veloppement de logiciels malveillants, le d\u00e9bogage de Mex et la mise en sc\u00e8ne de la charge utile Subzero.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1656663365_395_Amazon-corrige-discretement-la-vulnerabilite-de-gravite-elevee-dans-lapplication.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>De multiples liens ont \u00e9galement \u00e9t\u00e9 d\u00e9couverts entre DSIRF et les outils malveillants utilis\u00e9s dans les attaques de KNOTWEED.<\/p>\n<p>&#8220;Il s&#8217;agit notamment de l&#8217;infrastructure de commande et de contr\u00f4le utilis\u00e9e par le logiciel malveillant directement li\u00e9 \u00e0 DSIRF, d&#8217;un compte GitHub associ\u00e9 \u00e0 DSIRF utilis\u00e9 dans une attaque, d&#8217;un certificat de signature de code d\u00e9livr\u00e9 \u00e0 DSIRF utilis\u00e9 pour signer un exploit, et d&#8217;autres nouvelles open source rapports attribuant Subzero au DSIRF \u00bb, a not\u00e9 Redmond.<\/p>\n<p>Subzero n&#8217;est pas diff\u00e9rent des logiciels malveillants standard tels que Pegasus, Predator, Hermit et DevilsTongue, qui sont capables d&#8217;infiltrer les t\u00e9l\u00e9phones et les machines Windows pour contr\u00f4ler \u00e0 distance les appareils et siphonner les donn\u00e9es, parfois sans obliger l&#8217;utilisateur \u00e0 cliquer sur un lien malveillant.<\/p>\n<p>Au contraire, les derni\u00e8res d\u00e9couvertes mettent en \u00e9vidence un march\u00e9 international en plein essor pour ces technologies de surveillance sophistiqu\u00e9es permettant de mener des attaques cibl\u00e9es contre des membres de la soci\u00e9t\u00e9 civile.<\/p>\n<p>Bien que les entreprises qui vendent des logiciels espions commerciaux annoncent leurs produits comme un moyen de lutter contre les crimes graves, les preuves recueillies jusqu&#8217;\u00e0 pr\u00e9sent ont r\u00e9v\u00e9l\u00e9 plusieurs cas d&#8217;utilisation abusive de ces outils par des gouvernements autoritaires et des organisations priv\u00e9es pour espionner les d\u00e9fenseurs des droits de l&#8217;homme, les journalistes, les dissidents et les politiciens.<\/p>\n<p>Le Threat Analysis Group (TAG) de Google, qui suit plus de 30 fournisseurs qui proposent des exploits ou des capacit\u00e9s de surveillance \u00e0 des acteurs parrain\u00e9s par l&#8217;\u00c9tat, a d\u00e9clar\u00e9 que l&#8217;\u00e9cosyst\u00e8me en plein essor souligne &#8220;la mesure dans laquelle les fournisseurs commerciaux de surveillance ont prolif\u00e9r\u00e9 des capacit\u00e9s historiquement utilis\u00e9es uniquement par les gouvernements&#8221;.<\/p>\n<p>&#8220;Ces fournisseurs disposent d&#8217;une expertise technique approfondie pour d\u00e9velopper et op\u00e9rationnaliser des exploits&#8221;, a d\u00e9clar\u00e9 Shane Huntley de TAG. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.google\/threat-analysis-group\/googles-efforts-to-identify-and-counter-spyware\/\" target=\"_blank\">a dit<\/a> dans un t\u00e9moignage devant le US House Intelligence Committee mercredi, ajoutant que &#8220;son utilisation est en croissance, aliment\u00e9e par la demande des gouvernements&#8221;.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/07\/microsoft-uncover-austrian-company.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un cybermercenaire qui &#8220;vendait ostensiblement des services g\u00e9n\u00e9raux de s\u00e9curit\u00e9 et d&#8217;analyse d&#8217;informations \u00e0 des clients commerciaux&#8221; a utilis\u00e9 plusieurs exploits Windows et Adobe zero-day dans des attaques limit\u00e9es et tr\u00e8s cibl\u00e9es contre des entit\u00e9s europ\u00e9ennes et d&#8217;Am\u00e9rique centrale. La soci\u00e9t\u00e9, que Microsoft d\u00e9crit comme un acteur offensif du secteur priv\u00e9 (PSOA), est une soci\u00e9t\u00e9 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":282954,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[21965,14244,4168,4158,4165,4161,12680,29063,29859,4157,4159,4171,4170,4167,8362,4160,4163,4162,4172,4169,3827,196,4166,4164,45020,35759],"class_list":["post-282953","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-adobe","tag-autrichienne","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-decouvre","tag-exploitant","tag-exploits","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-microsoft","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-societe","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-windows","tag-zeroday"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/282953","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=282953"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/282953\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/282954"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=282953"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=282953"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=282953"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}