La vulnérabilité permet aux attaquants d’exécuter des commandes arbitraires à distance à l’aide de fichiers de raccourci Windows fabriqués avec des lignes de commande malveillantes.
Une vulnérabilité zéro-jour résultant de la façon dont l’interface utilisateur de Windows gère ses fichiers de raccourci (.lnk) a été exploitée par au moins 11 acteurs de l’État-nation dans des campagnes de menace généralisées.
Selon une analyse de la Trend Zero Day Initiative (ZDI), le programme de divulgation de primes et de vulnérabilité de bogue qui a trouvé et signalé la faille à Microsoft, la vulnérabilité expose les systèmes à des risques importants de vol de données et de cyber-espionnage.
« ZDI a identifié près de 1000 fichiers .lnk malveillants abusant du ZDI-CAN-25373, une vulnérabilité qui permet aux attaquants d’exécuter des commandes malveillantes cachées sur une machine victime en tirant parti des fichiers de raccourci fabriqués », a déclaré l’équipe ZDI dans un article de blog
La vulnérabilité du zéro-jour, suivie sous le nom de ZDI-CAN-25373, n’a pas encore été publiquement reconnu et attribué un CVE-ID par Microsoft.
Une solution est loin de la vue
ZDI-CAN-25373 a à voir avec la façon dont Windows affiche le contenu des fichiers .lnk, un type de fichier binaire utilisé par Windows pour agir comme un raccourci vers un fichier, un dossier ou une application, via l’interface utilisateur de Windows.
Un acteur de menace peut préparer un fichier .lnk malveillant (avec des arguments de ligne de commande) et le livrer à la victime qui l’inspecte avec l’interface utilisateur de Windows défectueuse. L’interface utilisateur ne parvient pas à signaler le contenu malveillant sous-jacent, en déclenchant l’exécution du code sur la machine victime.
La faille a reçu une gravité moyenne, CVSS 7 sur 10, note par NVD en raison de son exigence d’interaction des utilisateurs où la victime doit visiter une page malveillante ou ouvrir un dossier malveillant.
Microsoft, cependant, aurait refusé de prendre de nouvelles mesures en citant l’affaire comme ne «réalisant pas le service du barreau».
«Nous avons soumis un exploit de preuve de concept via le programme Boug Bounty de Tend ZDI à Microsoft, qui a refusé de répondre à cette vulnérabilité avec un correctif de sécurité.» L’équipe ZDI a déclaré.
Les demandes envoyées à Microsoft pour des commentaires n’ont reçu aucune réponse avant la publication de cet article.
Corée du Nord, Iran, Russie parmi les meilleurs agresseurs
Le ZDI rapporte un abus généralisé de la vulnérabilité par de multiples groupes APT, notamment des acteurs parrainés par l’État comme Evil Corp, Kimsuky (APT43), Earth Imp (Konni), Earth Anasi (amer) et Earth Manticore.
«Notre analyse a révélé que 11 groupes parrainés par l’État de Corée du Nord, d’Iran, de Russie et de Chine ont utilisé le ZDI-CAN-25373 dans des opérations principalement motivées par le cyber-espionnage et le vol de données.» L’équipe ZDI a ajouté. ZDI a identifié des instances à grande échelle de l’exploit dans une variété de campagnes datant de 2017.
Près de la moitié (45,5%) de ces attaques proviennent de la Corée du Nord, suivie de l’Iran (18,2%) et de la Russie (18,2%), a ajouté le rapport ZDI. Une majorité (68,2%) de ces acteurs sont connues pour leur motivation vers le vol / espionnage de l’information, tandis que 22,7% ont été trouvés opérant à des fins financières. De toute évidence, sur un cinquième (22,8%) des systèmes ciblés d’exploitation dans le secteur public, 8,8% ciblant ceux du secteur financier.
