Une faille de sécurité corrigée par Windows activement exploitée par le groupe FruityArmor

Une faille de sécurité corrigée par Windows activement exploitée par le groupe FruityArmor

Microsoft met en garde contre une faille de type « 0-day » au sein du composant win32k.sys, et qui est activement exploitée.

Cette faille de sécurité, référencée CVE-2018-8453, a été corrigée lors du dernier Patch Tuesday et permettait a un attaquant d’élever ses privilèges.

Le code d’exploitation, analysé par l’équipe Kaspersky Lab, était exécuté comme première étape d’un installeur de malware afin de gagner les privilèges nécessaires à le rendre persistant. De plus, ce code a été programmé de façon à ce qu’il soit capable de cibler plusieurs systèmes d’exploitation Windows.

Selon Kaspersky Lab, l’équipe de pirates baptisée « FruityArmor », basée au Moyen-Orient, serait responsable de cette attaque. Les victimes seraient elles aussi localisées au Moyen-Orient. La distribution de l’attaque semble très ciblée, affectant moins d’une douzaine de victimes.

Ce serait la seconde fois que l’APT FruityArmor utilise des failles de type « 0-day » afin de distribuer des malwares. L’attaque étant très limitée à ce jour, il est difficile d’en connaitre les motivations.

 


Référence


Jean-Christophe Pellat

Cert-XMCO