A zero-day (also known as zero-hour or 0-day) vulnerability is an undisclosed computer application vulnerability that could be exploited to adversely affect the computer programs, data, additional computers or a network. It is known as a "zero-day" because once the flaw becomes known, the application author has zero days in which to plan and advise any mitigation against its exploitation (by, for example, advising workarounds or issuing patches). Attacks employing zero-day exploits are often attempted before or on the day that notice of the vulnerability is released to the public; sometimes before the author is aware or has developed and made available corrected code. Zero-day attacks are a severe threat.

Découverte d’un nouvel acteur appelé « PuzzleMaker » et exploitant des failles 0-day sur Google Chrome et Windows

Les chercheurs de Kasperky Technologies ont découvert le 14 avril 2021 une vague d’attaques ciblées à l’encontre de plusieurs entreprises.
Ces attaques exploitaient un enchainement de failles 0-day au sein de Google Chrome et de Windows afin de compromettre le système de leurs victimes.

La vulnérabilité visant Chrome permettait à un attaquant d’exploiter du code arbitraire sur le système. Cependant, cette vulnérabilité ne permet pas de s’échapper de l’environnement cloisonné dans lequel s’exécute le navigateur. La vulnérabilité impactant Windows permet à un attaquant d’élever ses privilèges sur le système et de s’échapper de l’environnement cloisonné de Google Chrome. La combinaison de ces deux vulnérabilités permet ainsi à un attaquant de compromettre complètement le système.

L’attaque comprenait 3 étapes, chacune ayant son module dédié au sein du malware :

  • Stager : module permettant d’avertir du succès de l’exploitation. Il va ensuite télécharger le dropper, plus évolué et plus complexe, sur le système de la victime ;
  • Dropper : ce module va télécharger deux exécutables, qui permettront à un attaquant d’obtenir un accès distant au système à travers le module remote shell ;
  • Remote shell : ce module va permettre à un attaquant de télécharger des fichiers vers ou depuis le système ou d’exécuter des commandes arbitraires. Les communications entre ce module et le serveur de l’attaquant (C&C) sont chiffrées.

Aucun des éléments analysés n’a permis d’établir de connexions avec des groupes d’attaquants existants, bien qu’une fonctionnalité précédemment identifiée au sein de la famille de malware CHAINSHOT ainsi que chez les malwares de plusieurs autres groupes connus soit présente.

Kasperky Technologies a donc décidé de nommer l’acteur derrière ces attaques PuzzleMaker.

Toute l’analyse des chercheurs est disponible ici.


Jules Wermeister