Non classé

Plusieurs attaquants ont commencé à utiliser des exploits zero-day – Bien installer son serveur

Le 7 avril 2020 - 5 minutes de lecture

Les fournisseurs d'outils réseau contrefaits ont permis à tout groupe de menaces disposant des bonnes ressources d'exploiter facilement les erreurs non lues, explique FireEye.

Les groupes sophistiqués de menaces persistantes avancées ne sont plus les seuls à tirer parti des exploits zero-day.

Une analyse par FireEye de l'activité d'exploitation l'année dernière a montré que plus de cyberattaques exploitaient plus de vulnérabilités zero-day en 2019 que lors des trois années précédentes.

Alors que les groupes de menaces connus représentaient une partie importante de l'activité, FireEye a constaté qu'un large éventail d'autres groupes utilisaient également des extensions de jour zéro. En particulier, les chercheurs de FireEye ont observé une augmentation significative au fil du temps des activités d'exploitation à jour zéro par les gouvernements internationaux, les États-Unis et d'autres organismes d'application de la loi, et d'autres clients d'entreprises vendant des cyber-armes offensives.

"De 2012 à 2016, les acteurs qui ont souvent passé zéro jour étaient généralement parmi les plus sophistiqués", a déclaré Kelli Vanderlee, responsable de l'analyse du renseignement chez FireEye Mandiant.

Mais depuis environ 2017, le domaine s'est considérablement diversifié, au moins en partie à cause du rôle des fournisseurs qui offrent des opportunités de cybermenaces abusives.

Des exemples de tels fournisseurs incluent la Hacking Team of Italy, le NSO Group basé en Israël et Gamma International au Royaume-Uni. On a observé que ces entreprises vendaient des logiciels et des services de cyberespionnage et d'intrusion – y compris l'exploitation à jour zéro du gouvernement et d'autres entités depuis plusieurs années. Selon Vanderlee, ceux qui auraient bénéficié de ces outils sont des gouvernements aux registres des droits humains douteux comme le Soudan, l'Éthiopie et l'Ouzbékistan.

Selon FireEye, en 2019, les outils fournis par ces sociétés de sécurité privées cyber-offensives ont été utilisés dans plusieurs attaques.

Les exemples incluent une exploitation zero-day dans WhatsApp (CVE-2019-3568) utilisée pour distribuer des logiciels espions développés par NSO Group et une attaque contre une organisation de santé russe impliquant l'utilisation d'un Adobe Flash Zero Day (CVE) (2018-15982) . Un autre exemple était un bogue Android zero-day (CVE-2019-2215) que les attaquants exploitaient à l'aide des outils du groupe NSO, a déclaré FireEye dans un rapport qui résumait l'analyse cette semaine.

La tendance "suggère que l'utilisation du jour zéro n'est plus un indicateur important de sophistication", explique Vanderlee. "Au contraire, cela semble être un indicateur plus fiable de l'accès aux ressources."

Les groupes motivés par l'économie ont également régulièrement augmenté leur utilisation de l'exploitation du jour zéro, mais pas tout à fait au niveau des groupes d'espionnage, a déclaré FireEye. À titre d'exemple, le fournisseur de sécurité a signalé une intrusion ciblée en février 2019, dans laquelle le groupe d'attaque FIN6 exploitait une vulnérabilité de jour zéro dans le logiciel serveur Windows.

L'utilisation accrue d'exploits zero-day – et la gamme plus large d'acteurs de menaces utilisant ces outils peuvent s'avérer gênantes pour les entreprises. Selon FireEye, le nombre d'adversaires profitant d'exploits zero-day augmentera presque certainement au cours des prochaines années et à un rythme plus rapide que leurs compétences cyber-offensives générales. La seule chose qui limitera leur accès à ces outils, ce sont les ressources nécessaires.

«À mesure que l'accès zero-day se généralise, les entreprises doivent comparer la gamme complète des techniques utilisées par les attaquants connus pour cibler les contrôles et les stratégies existants», explique Vanderlee. "Bien que l'exploitation d'une vulnérabilité zero-day confère aux attaquants un avantage significatif, une approche approfondie de la défense peut permettre aux défenseurs de perturber et de vaincre les opérations malveillantes à d'autres étapes du cycle de vie de l'attaque", note-t-elle.

Une ligne d'argent pour les défenseurs est que les entreprises privées fournissent de plus en plus des outils sophistiqués aux groupes ayant une capacité globale limitée et aux groupes ayant peu de respect pour la sécurité opérationnelle. En conséquence, il y a plus de chances que les activités impliquant l'utilisation de bugs zero-day soient plus facilement observées, a déclaré FireEye dans son rapport.

Contenu connexe:

Jai Vijayan est un journaliste technologique expérimenté avec plus de 20 ans d'expérience dans le journalisme commercial informatique. Il a récemment été rédacteur en chef à Computerworld, où il a couvert les questions de sécurité et de confidentialité des informations pour la publication. Au cours de ses 20 ans … Afficher la biographie complète

Plus d'informations

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.