Les 4 vulnérabilités privilégiées par les ransomwares en 2020

Les ransomwares continuent à faire des ravages dans les entreprises. Pourtant, la plupart d’entre eux misent sur quelques vulnérabilités pour compromettre le SI. Retour sur quatre failles particulièrement appréciées des cyberattaquants.

Les gangs derrière les ransomwares privilégient des vulnérabilités existantes et pas nécessairement corrigées sur l’ensemble des postes de l’entreprise. (Crédit Photo : Elchinator/Pixabay)

Sur le plan de la sécurité, l’année 2020 a été marquée par l’augmentation du phishing et d’autres attaques ciblant les travailleurs distants dans le contexte de la crise du Covid-19. Ainsi, après les décrets imposant le télétravail à ses employés, la ville de New York a dû gérer les menaces d’environ 750 000 points d’accès, contre 80 000 en temps normal. Comme le fait remarquer une récente étude semestrielle de Check Point Software Technologies, « avec la pandémie, les attaques de malwares exploitant des techniques d’ingénierie sociale sur le thème du Covid-19 se sont multipliées ». De nombreux noms de domaine faisant référence à la pandémie ont été créés. Et à mesure que les travailleurs distants ont commencé à utiliser des plates-formes de vidéoconférence, les attaques se sont déplacées vers Zoom, Teams et d’autres plates-formes de vidéoconférence.

Mais, constat inquiétant du rapport de Check Point, 80 % des attaques observées au cours du premier semestre 2020 ont exploité des vulnérabilités signalées et enregistrées en 2017 et avant, et plus de 20 % des attaques ont exploité des vulnérabilités découvertes il y a sept ans au moins. Cela montre que le maintien à jour des logiciels reste un problème. En 2020, les ransomwares représentent toujours une menace importante, mais une étude récente et intéressante de l’entreprise de sécurité SenseCy a montré que les attaques par ransomwares qu’elle a identifiées n’exploitaient pas que des vulnérabilités Windows. Les attaquants ont exploité des vulnérabilités présentes dans les outils d’accès à distance des réseaux Windows.

Voilà les quatre principales vulnérabilités les plus exploitées, identifiées par les chercheurs :

Vulnérabilité CVE-2019-19781 dans Citrix Application Delivery Controller

La vulnérabilité CVE-2019-19781 affecte les solutions d’accès à distance de Citrix. Rendue publique en décembre 2019, elle a été corrigée en janvier 2020. Les attaquants utilisent les vulnérabilités de Citrix comme point d’entrée et ciblent ensuite d’autres failles Windows pour obtenir un niveau d’accès supplémentaire. Comme l’indique un article du blog FireEye, les attaques du ransomware Ragnarok ont exploité la vulnérabilité de Citrix pour s’introduire dans le réseau et télécharger un outil natif utilisé par Windows Certificate Services (répertoriée comme Technique 11005 dans le framework ATT&CK de MITRE).

Les attaquants ont ensuite exécuté le code since1969.exe téléchargé, localisé dans C:\Users\Public, et ont supprimé l’URL du cache du certificat de l’utilisateur. Pour vérifier que vos appareils Citrix Gateway ne sont pas affectés par cette vulnérabilité, téléchargez et exécutez l’outil de scan FireEye/Citrix disponible sur GitHub. Cette vulnérabilité a été exploitée par des ransomwares comme Sodinokibi/REvil, Ragnarok, DopplePaymer, Maze, CLOP et Nephilim. Check Point rapporte des tendances similaires en matière d’accès à distance. L’utilisation de technologies d’accès à distance, notamment RDP et VPN, a entraîné une forte augmentation des attaques par force brute du RDP.

Vulnérabilité CVE-2019-11510 dans Pulse Connect Secure

Cette année, la vulnérabilité CVE-2019-11510 a été utilisée et exploitée par de nombreux cybercriminels pour mener différents types d’attaques. Pulse Secure fournit des connexions VPN aux réseaux, et l’utilisation du logiciel a augmenté de façon spectaculaire, une progression directement liée à la multiplication du télétravail. C’est ce qu’indiquait un article de blog de Microsoft en avril : « REvil (également appelé Sodinokibi) a gagné en notoriété pour s’introduire dans les réseaux des fournisseurs de services managés (MSP) et accéder aux documents des clients. Le ciblage des MSP s’est poursuivi pendant la crise du Covid-19, et s’est étendu à d’autres secteurs, comme des institutions gouvernementales locales ».

La brèche a également été utilisée pour voler et diffuser les mots de passe de plus de 900 serveurs VPN d’entreprise. En juin, les attaques du ransomware Black Kingdom ont également exploité la vulnérabilité Pulse VPN pour lancer une attaque qui a permis de compromettre une tâche légitime programmée pour Google Chrome.

Vulnérabilité CVE 2012-0158 dans Microsoft Office Common Controls

La troisième des quatre vulnérabilités ayant servi de vecteur à la majorité des attaques de ransomware en 2020 est une vulnérabilité découverte il y a plusieurs années, en 2012 exactement. La vulnérabilité CVE 2012-0158 a également beaucoup fait parler d’elle en 2019. En mars 2020, des organisations gouvernementales et institutions médicales ont été la cible d’attaques visant à exploiter cette vulnérabilité. Les attaquants ont envoyé « un document au format RTF (rich text format) dénommé 20200323-sitrep-63-covid-19.doc, qui, une fois ouvert, essayait de livrer le ransomware EDA2 en exploitant une vulnérabilité connue de débordement de tampon (CVE-2012-0158) dans les contrôles ActiveX ListView / TreeView de la bibliothèque MSCOMCTL.OCX de Microsoft ».

Vulnérabilité CVE-2018-8453 dans les composants Windows Win32k

Découverte en 2018, la vulnérabilité CVE-2018-8453 affecte le composant win32k.sys de Windows. La compagnie d’électricité brésilienne Light S.A a été la cible d’un ransomware qui a utilisé la vulnérabilité pour gagner des privilèges en tirant partie des exploits 32 et 64 bits du composant Win32k de Windows. Le nombre et l’âge des vulnérabilités utilisées par ces attaques inquiètent de plus en plus les spécialistes de la sécurité. Cette tendance montre qu’il est temps pour les entreprises de revoir les processus de gestion de leurs correctifs, de s’assurer qu’elles corrigent correctement leurs points d’entrée et de rechercher des vulnérabilités plus anciennes qui n’auraient pas été repérées par les outils d’application des correctifs.

Plusieurs questions méritent d’être posées : l’entreprise a-t-elle multiplié ses points d’accès en raison de la pandémie ? A-t-elle passé en revue ses points d’accès pour s’assurer qu’ils sont correctement protégés et surveillés ? A-t-elle renforcé ses processus de télémétrie et de service d’assistance afin d’être alertée des problèmes avant qu’ils ne surviennent ? Il est important de prendre du recul et de faire le point sur la situation actuelle, de se demander comment améliorer ses processus d’applications de correctifs, mieux communiquer et mieux se protéger.

chevron_left
chevron_right