La vulnérabilité de détournement de l’ordre de recherche DLL permet aux attaquants de inciter les fenêtres à exécuter des DLL malveillantes.
Le groupe APT soutenu par la Chine Toddycat a été trouvé exploitant une vulnérabilité de la sévérité moyenne dans le logiciel antivirus ESET pour faufiler le code malveillant sur des systèmes vulnérables.
Suivi sous le nom de CVE-2024-11859, le défaut est une vulnérabilité de détournement de la bibliothèque de liens dynamiques (DLL) découverte et rapportée par Kaspersky l’année dernière, avec un correctif émis par ESET en janvier.
« Sur les systèmes avec un produit ESET affecté installé, un attaquant pourrait planter une bibliothèque dynamique malveillante dans un dossier spécifique et exécuter son contenu en exécutant le scanner de ligne de commande ESET, qui chargerait la bibliothèque plantée au lieu de la bibliothèque du système prévu », a déclaré ESET dans un avis.
L’entreprise exhorte les clients utilisant ses produits de sécurité de consommation, d’entreprise et de serveur à passer à une construction fixe de l’antivirus.
Exécution de DLL malveillante
CVE-2024-11859 est un défaut CVSS 6.8 / 10 issu de la façon dont l’un des outils antivirus d’Eset (scanner de ligne de commande) charge une DLL demandée. Au lieu de rechercher la DLL dans un répertoire de système de confiance, l’outil commence par regarder dans le répertoire actuel, un fait étant abusé pour planter la DLL avec des codes malveillants pour l’exécution.
Pour exploiter la faille, cependant, l’attaquant doit avoir des privilèges de niveau administratif sur le système ciblé.
Toddycat a été retrouvé exploitant cette faille dans ses campagnes depuis le début de 2024, l’utilisant pour planter une DLL 64 bits contenant le malware «TCESB» écrit en C ++, a déclaré Kaspersky dans un article de blog.
« Lors de l’enquête sur les incidents liés à Todycat, nous avons détecté un fichier suspect nommé version.dll dans le répertoire temporaire sur plusieurs appareils », a déclaré Kaspersky. « Auparavant invisible dans les attaques Todycat, il est conçu pour exécuter furtivement les charges utiles dans le contournement des outils de protection et de surveillance installés sur l’appareil. »
Une fois exécuté, TCESB lit la version du noyau en cours d’exécution et désactive les routines de notification, installe un pilote vulnérable pour l’évasion de la défense et lance la charge utile finale que Kaspersky n’a pas pu obtenir d’échantillons.
Une gamme de produits affectés
Le défaut affecte toutes les offres ESET avec le scanner de ligne de commande qui comprend une gamme de produits utilisés par les utilisateurs de puissance, les administrateurs informatiques et les environnements d’entreprise.
Selon l’avocat, les versions antivirus affectées comprennent l’antivirus ESET NOD32, la sécurité Internet ESET, l’ESet Smart Security Premium et la sécurité ESET Ultimate 18.0.12.0 et plus tôt. Les offres Windows affectées incluent les antivirus de point de terminaison pour Windows et la sécurité des points de terminaison pour Windows 12.0.2038.0 et plus tôt.
Les offres d’entreprise affectées incluent ESET Small Business Security et ESET Safe Server 18.0.12 et plus tôt. Toutes les versions affectées ont été fixées dans les dernières mises à niveau respectives. Kaspersky a partagé des indicateurs de compromis (CIO) pour aider à détecter les traces d’activités Toddycat. «Pour détecter l’activité de ces outils, il est recommandé de surveiller les systèmes d’événements d’installation impliquant des conducteurs avec des vulnérabilités connues.» L’utilisation d’outils du système d’exploitation pour vérifier tous les fichiers de bibliothèque système chargés pour la présence de fichiers malveillants, comme version.dll, a également été recommandé.
