Microsoft a corrigé une vulnérabilité zero-day affectant toutes les versions prises en charge de Windows, que les chercheurs affirment que les pirates ont exploitée pour lancer des attaques de ransomware.
Microsoft a dit dans une alerte de sécurité mardi qu’un attaquant qui parviendrait à exploiter la vulnérabilité du système de fichiers journaux Windows Common (CLFS) pourrait obtenir un accès complet à un système non corrigé. Microsoft a confirmé que les attaquants exploitaient activement la vulnérabilité.
La société russe de cybersécurité Kaspersky dit la faille a été utilisée pour déployer le rançongiciel Nokoyawa, ciblant principalement les serveurs Windows appartenant à des petites et moyennes entreprises basées au Moyen-Orient, en Amérique du Nord et en Asie.
Dans son analyse de la vulnérabilité, Kaspersky affirme que le zero-day se démarque car il est activement exploité par des cybercriminels à motivation financière.
« Les groupes de cybercriminalité deviennent de plus en plus sophistiqués en utilisant des exploits zero-day dans leurs attaques », a déclaré Boris Larin, chercheur principal en sécurité chez Kaspersky. « Auparavant, ils étaient principalement un outil des acteurs APT, mais maintenant les cybercriminels ont les ressources nécessaires pour acquérir des zero-days et les utiliser régulièrement dans des attaques. »
Nokoyawa a été observé pour la première fois en février 2022 et serait lié au gang de rançongiciels Hive, aujourd’hui disparu, que les forces de l’ordre ont infiltré et fermé en janvier. « Les deux familles partagent des similitudes frappantes dans leur chaîne d’attaque, des outils utilisés à l’ordre dans lequel ils exécutent les différentes étapes », a déclaré Trend Micro. a dit dans une analyse de l’époque.
Le logiciel malveillant Nokoyawa crypte les fichiers sur les systèmes qu’il compromet, mais les opérateurs prétendent également voler des informations précieuses qu’ils menacent de divulguer à moins qu’une rançon ne soit payée.
L’agence américaine de cybersécurité CISA a ajouté la vulnérabilité Windows récemment corrigée à son catalogue des vulnérabilités exploitées connues et a exhorté les agences fédérales à mettre à jour les systèmes avant le 2 mai.
Microsoft a corrigé près de 100 failles dans le cadre de sa mise à jour régulière Patch Tuesday. Le géant de la technologie a également corrigé une faille d’exécution de code à distance qui pourrait permettre à un attaquant distant non authentifié d’exécuter son code avec des privilèges élevés sur les serveurs concernés avec le service Message Queuing de Microsoft activé.
