Microsoft corrige les abus Zero-Day dans les attaques MysterySnail RAT

Dans le Patch Tuesday d'hier, Microsoft a corrigé 71 vulnérabilités et une poignée de bugs zero-day dans ses produits. L'une des vulnérabilités corrigées était un bogue d'escalade de privilèges qui aurait déjà été utilisé dans la nature pour diffuser un outil malveillant appelé MysterySnail.

Le malware MysterySnail a été identifié comme un cheval de Troie d'accès à distance ou RAT. Selon des chercheurs en sécurité, MysterySnail a été utilisé dans des attaques de cyberespionnage visant des entités occidentales. Parmi les cibles figurent les entreprises informatiques et les entrepreneurs de la défense.

Plus tôt en 2021, MysterySnail a été utilisé dans une série d'attaques contre ces cibles. Les chercheurs pensent que les attaques proviennent d'un acteur de menace persistant avancé parlant chinois, probablement celui dont le nom de code est IronHusky.

Les attaques ciblaient des systèmes de serveurs Microsoft Windows non corrigés à l'époque. La vulnérabilité exploitée dans les attaques a été signalée comme CVE-2021-40449 et est décrite comme une élévation de privilèges Win32k.

La raison pour laquelle les chercheurs pensent que les attaques étaient l'œuvre de l'APT IronHusky est qu'il y avait des morceaux de code très similaires dans la charge utile du cheval de Troie d'accès à distance MysterySnail. Le malware a également utilisé l'infrastructure de serveur de commande et de contrôle qui est habituellement utilisée par IronHusky, ont remarqué les chercheurs.

Bien que le MysterySnail RAT ne soit pas particulièrement sophistiqué selon la plupart des normes, il inclut des capacités de commande qui lui permettent d'arrêter les processus système, de gérer les fichiers sur le système victime, d'ouvrir de nouvelles connexions proxy et de créer de nouveaux processus en fonction des besoins des opérateurs.

La vulnérabilité impliquée est également décrite comme un bogue d'utilisation après utilisation libre qui réside dans le noyau Win32k. Les problèmes d'utilisation après l'utilisation gratuite sont liés à une utilisation incorrecte et à la libération de mémoire lors du fonctionnement du programme.

October 13, 2021