Microsoft : une faille zero-day de SysAid exploitée dans les attaques du rançongiciel Clop

Les acteurs malveillants exploitent une vulnérabilité Zero Day dans le logiciel de gestion de services SysAid pour accéder aux serveurs de l’entreprise à des fins de vol de données et pour déployer le ransomware Clop.

SysAid est une solution complète de gestion des services informatiques (ITSM) qui fournit une suite d’outils pour gérer divers services informatiques au sein d’une organisation.

Le ransomware Clop est connu pour exploiter les vulnérabilités du jour zéro dans des logiciels largement utilisés. Des exemples récents incluent MOVEit Transfer, GoAnywhere MFT et Accellion FTA.

Actuellement identifiée comme CVE-2023-47246, la vulnérabilité a été découverte le 2 novembre après que des pirates l’ont exploitée pour pirater les serveurs SysAid sur site.

Publicité

L’équipe Microsoft Threat Intelligence a découvert le problème de sécurité exploité dans la nature et a alerté SysAid.

Microsoft a déterminé que la vulnérabilité avait été utilisée pour déployer le ransomware Clop par un acteur menaçant qu’il suit sous le nom de Lace Tempest (alias Fin11 et TA505).

Tweeter

Détails de l’attaque

SysAid a publié mercredi un rapport révélant que CVE-2023-47246 est une vulnérabilité de traversée de chemin qui conduit à l’exécution de code non autorisée. La société partage également les détails techniques de l’attaque découverts à la suite d’une enquête menée par une société de réponse rapide aux incidents. Proféro.

L’acteur malveillant a exploité la faille Zero Day pour télécharger dans la racine Web du service Web SysAid Tomcat une archive WAR (Web Application Resource) contenant un webshell.

Cela a permis aux auteurs de la menace d’exécuter des scripts PowerShell supplémentaires et de charger le malware GraceWire, qui a été injecté dans un processus légitime (egspoolsv.exe, msiexec.exe, svchost.exe).

Le rapport indique que le chargeur de logiciels malveillants (« user.exe ») vérifie les processus en cours pour garantir que les produits de sécurité Sophos ne sont pas présents sur le système compromis.

Chargeur de logiciels malveillants
Chargeur de logiciels malveillants (SysAid)

Après avoir exfiltré les données, l’acteur malveillant a tenté d’effacer ses traces en utilisant un autre script PowerShell qui supprimait les journaux d’activité.

Microsoft a également remarqué que Lace Tempest déployait des scripts supplémentaires permettant de récupérer un écouteur Cobalt Strike sur des hôtes compromis.

Script PS pour effacer les traces d'attaque
Script PS pour effacer les traces d’attaque (SysAid)

Mise à jour de sécurité disponible

Après avoir pris connaissance de la vulnérabilité, SysAid a travaillé rapidement pour développer un correctif pour CVE-2023-47246, disponible dans une mise à jour logicielle. Il est fortement recommandé à tous les utilisateurs de SysAid de passer à version 23.3.36 ou plus tard.

Les administrateurs système doivent également vérifier les serveurs pour détecter tout signe de compromission en suivant les étapes ci-dessous :

  1. Vérifiez la racine Web SysAid Tomcat pour les fichiers inhabituels, en particulier les fichiers WAR, ZIP ou JSP avec des horodatages anormaux.
  2. Recherchez les fichiers WebShell non autorisés dans le service SysAid Tomcat et inspectez les fichiers JSP à la recherche de contenu malveillant.
  3. Examinez les journaux pour détecter les processus enfants inattendus de Wrapper.exe, ce qui peut indiquer une utilisation de WebShell.
  4. Vérifiez les journaux PowerShell pour les exécutions de scripts qui correspondent aux modèles d’attaque décrits.
  5. Surveillez les processus clés tels que spoolsv.exe, msiexec.exe, svchost.exe pour détecter tout signe d’injection de code non autorisée.
  6. Appliquez les IOC fournis pour identifier tout signe de vulnérabilité exploitée.
  7. Recherchez des preuves de commandes spécifiques d’un attaquant indiquant une compromission du système.
  8. Exécutez des analyses de sécurité pour détecter les indicateurs malveillants connus liés à la vulnérabilité.
  9. Recherchez les connexions aux adresses IP C2 répertoriées.
  10. Recherchez les signes de nettoyage mené par des attaquants pour dissimuler leur présence.

Le rapport de SysAid fournit des indicateurs de compromission qui pourraient aider à détecter ou à prévenir l’intrusion, notamment les noms de fichiers et les hachages, les adresses IP, les chemins de fichiers utilisés dans l’attaque et les commandes utilisées par l’acteur malveillant pour télécharger des logiciels malveillants ou pour supprimer les preuves de l’accès initial.

4.6/5 - (38 votes)
Publicité
Article précédentLe Samsung Galaxy S24 Ultra pourrait avoir un gros avantage par rapport à l’iPhone 15 Pro Max – découvrez Galaxy AI
Article suivantUne attaque DDoS est probablement à l’origine de la panne majeure de ChatGPT : OpenAI
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici