La société de cybersécurité CrowdStrike a observé qu'un groupe de cybercriminalité suivi sous le nom de Scattered Spider exploitait une ancienne vulnérabilité dans un pilote de diagnostic Intel Ethernet pour Windows, entraînant l'exécution de code arbitraire avec les privilèges du noyau.
Selon CrowdStrike, au cours des dernières semaines, l'auteur de la menace tentait de déployer un pilote de noyau malveillant en utilisant une méthode appelée “Bring Your Own Vulnerable Driver” (BYOVD), qui est une lacune bien connue et répandue dans la sécurité de Windows qui permet adversaires pour contourner les protections du noyau Windows et exécuter du code avec les privilèges les plus élevés dans Windows.
Exécuter un code malveillant
Dans la dernière attaque BYOVD, qui a été remarquée et stoppée par le système de sécurité Falcon de CrowdStrike, Scattered Spider a tenté d'exploiter un pilote de noyau malveillant via une vulnérabilité de haute gravité (CVE-2015-2291) dans le pilote de diagnostic Intel Ethernet pour Windows (iqvw64. sys), qui permet à un attaquant d'exécuter du code arbitraire avec les privilèges du noyau à l'aide d'appels spécialement conçus.
Cette nouvelle tactique a été repérée par CrowdStrike immédiatement après avoir rendu compte d'une campagne de Scattered Spider (alias Roasted 0ktapus, UNC3944) en décembre 2022, où ce groupe de cybercriminalité cible les organisations des secteurs des télécommunications et de l'externalisation des processus métier (BPO) depuis juin. 2022 avec pour objectif final d'accéder aux réseaux des opérateurs mobiles.
?? L'arachnophobie est une peur extrême ou irrationnelle des araignées.
Découvrez comment CrowdStrike a détecté la tentative de SCATTERED SPIDER de déployer un pilote malveillant via une vulnérabilité (CVE-2015-2291) dans le pilote de diagnostic Intel Ethernet.
— CrowdStrike (@CrowdStrike) 12 janvier 2023
À l'époque, l'acteur de la menace a été vu en train d'utiliser l'ingénierie sociale où l'adversaire exploitait les appels téléphoniques, les SMS et/ou les messages Telegram pour se faire passer pour le personnel informatique afin d'obtenir les informations d'identification des victimes et les mots de passe à usage unique (OTP), et d'utiliser un réseau privé virtuel (VPN ) et des outils de surveillance et de gestion à distance (RMM) après l'exploit.
« Dans une tentative de limiter la quantité de fonctionnalités auxquelles les logiciels malveillants peuvent accéder sur un système Windows, à commencer par Windows Vista 64 bits, Windows n'autorise pas l'exécution par défaut des pilotes en mode noyau non signés. BYOVD “permet à un attaquant disposant d'un contrôle administratif de contourner les protections du noyau Windows”, permettant à un adversaire d'installer un pilote légitimement signé mais malveillant pour exécuter une attaque”, a déclaré CrowdStrike dans un article de blog.
Un problème Windows de longue date
Selon les chercheurs, la technique BYOVD a été fréquemment utilisée contre Windows au cours de la dernière décennie. En 2021, Microsoft a tenté de résoudre ce problème sur Windows en introduisant des listes de blocage des pilotes vulnérables utilisés par défaut par les fonctionnalités de sécurité Windows sur les appareils Windows 10 avec l'intégrité du code protégé par l'hyperviseur (HVCI) activée.
Cependant, divers chercheurs et sociétés de cybersécurité ont observé que les acteurs de la menace ont continué à utiliser avec succès l'attaque BYOVD pour contourner les protections de Redmond.
L'auteur de la menace a tenté d'utiliser la méthode BYOVD pour contourner les outils de sécurité des terminaux proposés par plusieurs sociétés de sécurité, notamment Microsoft Defender for Endpoint, Palo Alto Networks Cortex XDR et SentinelOne.
CrowdStrike a déclaré que Scattered Spider avait tenté “d'utiliser l'espace de pilote privilégié fourni par le pilote Intel vulnérable pour écraser des routines spécifiques dans le pilote de capteur CrowdStrike Falcon… cela a été empêché par le capteur Falcon et immédiatement transmis au client avec une analyse humaine”.
La société a déclaré avoir identifié diverses versions d'un pilote malveillant qui sont signées par différents certificats et autorités, y compris des certificats volés initialement délivrés à NVIDIA et Global Software LLC, ainsi qu'un certificat de test auto-signé.
“L'intention de l'adversaire est de désactiver les capacités de visibilité et de prévention des produits de sécurité des terminaux afin que l'acteur puisse poursuivre ses actions sur les objectifs”, a ajouté CrowdStrike.
Étant donné que la dernière activité BYOVD semble cibler des secteurs spécifiques, CrowdStrike recommande aux organisations d'employer une approche rigoureuse de défense en profondeur qui surveille les terminaux, les charges de travail cloud, les identités et les réseaux pour se défendre contre les pilotes vulnérables ainsi que contre les attaques comprenant d'autres exploits.
