{"id":399323,"date":"2022-10-05T21:02:29","date_gmt":"2022-10-05T23:02:29","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-exploitent-la-vulnerabilite-du-pilote-dell-pour-deployer-un-rootkit-sur-des-ordinateurs-cibles\/"},"modified":"2022-10-05T21:02:30","modified_gmt":"2022-10-05T23:02:30","slug":"les-pirates-exploitent-la-vulnerabilite-du-pilote-dell-pour-deployer-un-rootkit-sur-des-ordinateurs-cibles","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-exploitent-la-vulnerabilite-du-pilote-dell-pour-deployer-un-rootkit-sur-des-ordinateurs-cibles\/","title":{"rendered":"Les pirates exploitent la vuln\u00e9rabilit\u00e9 du pilote Dell pour d\u00e9ployer un rootkit sur des ordinateurs cibl\u00e9s"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Le groupe Lazarus, soutenu par la Cor\u00e9e du Nord, a \u00e9t\u00e9 observ\u00e9 en train de d\u00e9ployer un rootkit Windows en profitant d&#8217;un exploit dans un pilote de micrologiciel Dell, mettant en \u00e9vidence de nouvelles tactiques adopt\u00e9es par l&#8217;adversaire parrain\u00e9 par l&#8217;\u00c9tat.<\/p>\n<p>L&#8217;attaque BYOVD (Bring Your Own Vulnerable Driver), qui a eu lieu \u00e0 l&#8217;automne 2021, est une autre variante de l&#8217;activit\u00e9 d&#8217;espionnage de l&#8217;acteur mena\u00e7ant appel\u00e9e Operation In(ter)ception qui est dirig\u00e9e contre les industries de l&#8217;a\u00e9rospatiale et de la d\u00e9fense.<\/p>\n<p>&#8220;La campagne a commenc\u00e9 par des e-mails de harponnage contenant des documents malveillants sur le th\u00e8me d&#8217;Amazon et ciblant un employ\u00e9 d&#8217;une entreprise a\u00e9rospatiale aux Pays-Bas et un journaliste politique en Belgique&#8221;, a d\u00e9clar\u00e9 Peter K\u00e1lnai, chercheur chez ESET. <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/2022\/09\/30\/amazon-themed-campaigns-lazarus-netherlands-belgium\/\" target=\"_blank\">a dit<\/a>.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Des cha\u00eenes d&#8217;attaque se sont d\u00e9roul\u00e9es lors de l&#8217;ouverture des documents leurre, conduisant \u00e0 la distribution de droppers malveillants qui \u00e9taient des versions trojanis\u00e9es de projets open source, corroborant les r\u00e9cents rapports de Google Mandiant et Microsoft.<\/p>\n<p>ESET a d\u00e9clar\u00e9 avoir d\u00e9couvert des preuves que Lazarus avait abandonn\u00e9 des versions militaris\u00e9es de <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/erinata\/FingerText\" target=\"_blank\">FingerText<\/a> et sslSniffer, un composant du <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/wolfSSL\/wolfssl\" target=\"_blank\">biblioth\u00e8que wolfSSL<\/a>en plus des t\u00e9l\u00e9chargeurs et t\u00e9l\u00e9chargeurs bas\u00e9s sur HTTPS.<\/p>\n<p>Les intrusions ont \u00e9galement ouvert la voie \u00e0 la porte d\u00e9rob\u00e9e de choix du groupe baptis\u00e9e BLINDINGCAN &#8211; \u00e9galement connue sous le nom d&#8217;AIRDRY et ZetaNile &#8211; qu&#8217;un op\u00e9rateur peut utiliser pour contr\u00f4ler et explorer des syst\u00e8mes compromis.<\/p>\n<p>Mais ce qui est remarquable dans les attaques de 2021, c&#8217;est un module rootkit qui exploitait une faille du pilote Dell pour obtenir la capacit\u00e9 de lire et d&#8217;\u00e9crire dans la m\u00e9moire du noyau.  Le probl\u00e8me, suivi en tant que CVE-2021-21551, concerne un ensemble de vuln\u00e9rabilit\u00e9s critiques d&#8217;escalade de privil\u00e8ges dans dbutil_2_3.sys.<\/p>\n<p>&#8220;[This] repr\u00e9sente le premier abus enregistr\u00e9 de la vuln\u00e9rabilit\u00e9 CVE-2021-21551 \u00bb, a not\u00e9 K\u00e1lnai. \u00ab Cet outil, combin\u00e9 \u00e0 la vuln\u00e9rabilit\u00e9, d\u00e9sactive la surveillance de toutes les solutions de s\u00e9curit\u00e9 sur les machines compromises.<\/p>\n<p>Nomm\u00e9 FudModule, le malware jusque-l\u00e0 non document\u00e9 atteint ses objectifs via plusieurs m\u00e9thodes &#8220;soit inconnues auparavant, soit famili\u00e8res uniquement aux chercheurs sp\u00e9cialis\u00e9s en s\u00e9curit\u00e9 et aux d\u00e9veloppeurs (anti-)triche&#8221;, selon ESET.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>&#8220;Les attaquants ont ensuite utilis\u00e9 leur acc\u00e8s en \u00e9criture \u00e0 la m\u00e9moire du noyau pour d\u00e9sactiver sept m\u00e9canismes propos\u00e9s par le syst\u00e8me d&#8217;exploitation Windows pour surveiller ses actions, comme le registre, le syst\u00e8me de fichiers, la cr\u00e9ation de processus, le suivi des \u00e9v\u00e9nements, etc., aveuglant essentiellement les solutions de s\u00e9curit\u00e9 d&#8217;une mani\u00e8re tr\u00e8s g\u00e9n\u00e9rique et robuste. &#8220;, a d\u00e9clar\u00e9 Kalnai.  &#8220;Il ne fait aucun doute que cela n\u00e9cessitait des comp\u00e9tences approfondies en mati\u00e8re de recherche, de d\u00e9veloppement et de test.&#8221;<\/p>\n<p>Ce n&#8217;est pas la premi\u00e8re fois que l&#8217;auteur de la menace recourt \u00e0 l&#8217;utilisation d&#8217;un <a rel=\"nofollow noopener\" href=\"https:\/\/www.rapid7.com\/blog\/post\/2021\/12\/13\/driver-based-attacks-past-and-present\/\" target=\"_blank\">conducteur vuln\u00e9rable<\/a> pour monter ses attaques de rootkit.  Le mois dernier, l&#8217;ASEC d&#8217;AhnLab <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/38993\/\" target=\"_blank\">d\u00e9taill\u00e9<\/a> l&#8217;exploitation d&#8217;un pilote l\u00e9gitime connu sous le nom de &#8220;ene.sys&#8221; pour d\u00e9sarmer les logiciels de s\u00e9curit\u00e9 install\u00e9s dans les machines.<\/p>\n<p>Les r\u00e9sultats sont une d\u00e9monstration de la t\u00e9nacit\u00e9 et de la capacit\u00e9 du groupe Lazarus \u00e0 innover et \u00e0 modifier ses tactiques selon les besoins au fil des ans, malgr\u00e9 un examen minutieux des activit\u00e9s du collectif de la part des forces de l&#8217;ordre et de la communaut\u00e9 de recherche au sens large.<\/p>\n<p>&#8220;La diversit\u00e9, le nombre et l&#8217;excentricit\u00e9 dans la mise en \u0153uvre des campagnes Lazarus d\u00e9finissent ce groupe, ainsi que le fait qu&#8217;il ex\u00e9cute les trois piliers des activit\u00e9s cybercriminelles\u00a0: le cyberespionnage, le cybersabotage et la poursuite du gain financier&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/10\/hackers-exploiting-dell-driver.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Le groupe Lazarus, soutenu par la Cor\u00e9e du Nord, a \u00e9t\u00e9 observ\u00e9 en train de d\u00e9ployer un rootkit Windows en profitant d&#8217;un exploit dans un pilote de micrologiciel Dell, mettant en \u00e9vidence de nouvelles tactiques adopt\u00e9es par l&#8217;adversaire parrain\u00e9 par l&#8217;\u00c9tat. L&#8217;attaque BYOVD (Bring Your Own Vulnerable Driver), qui a eu lieu \u00e0 l&#8217;automne 2021, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":399324,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[9589,4168,4158,4165,4161,33362,9886,133,8736,4157,4159,4171,4170,65,4167,4160,4163,4162,4393,2017,4394,185,30795,4172,4169,60,4166,3667,4164],"class_list":["post-399323","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-cibles","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dell","tag-deployer","tag-des","tag-exploitent","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-ordinateurs","tag-pilote","tag-pirates","tag-pour","tag-rootkit","tag-securite-informatique","tag-securite-internet","tag-sur","tag-violation-de-donnees","tag-vulnerabilite","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/399323","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=399323"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/399323\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/399324"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=399323"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=399323"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=399323"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}