Attaque Zero-Day Windows : Le Groupe Play Vise l'Élévation des Privilèges sur Vos Ordinateurs(Avril 2025)

 



Introduction

Si l'exploitation de vulnérabilités zero-day reste une pratique relativement rare chez les groupes de ransomware, la récente découverte liée à la mise à jour d'avril 2025 de Microsoft change la donne. Une faille notée 7.8 au CVSS, logée dans le pilote kernel CLFS, a été utilisée dans une attaque sophistiquée. L'analyse révèle un processus d'exploitation complexe, culminant avec le vol d'identifiants LSASS et la création de comptes administrateurs. Ce recours inhabituel à une vulnérabilité de ce type par des acteurs comme le groupe Play, connu pour ses outils personnalisés et ses tactiques de double extorsion, soulève de sérieuses questions sur l'avenir des menaces

Ransomware Play Exploite une Faille Critique de Windows

Des acteurs de menace liés à l'opération de ransomware Play ont exploité une vulnérabilité zero-day dans Microsoft Windows avant son correctif du 8 avril 2025.

La vulnérabilité, référencée CVE-2025-29824, affecte le pilote du système de fichiers de journalisation commun de Windows (CLFS) et permet aux attaquants d'élever leurs privilèges d'un utilisateur standard à un accès complet au système.

L'équipe Symantec Threat Hunter a rapporté que des attaquants affiliés au groupe de ransomware Play (également connu sous le nom de Balloonfly ou PlayCrypt) ont ciblé une organisation non nommée aux États-Unis, en utilisant probablement un Cisco Adaptive Security Appliance (ASA) exposé publiquement comme point d'entrée.

Bien qu'aucune charge utile de ransomware n'ait été déployée lors de l'intrusion découverte, les attaquants ont utilisé un outil personnalisé de vol d'informations appelé Grixba, qui a déjà été associé à l'opération de ransomware Play.

Le Microsoft Threat Intelligence Center (MSTIC) et le Security Response Center (MSRC) ont identifié que l'activité d'exploitation a été attribuée à un groupe de menace appelé Storm-2460, qui déploie le malware PipeMagic dans des campagnes de ransomware.

Les cibles comprenaient des organisations dans les secteurs de la technologie de l'information (TI) et de l'immobilier aux États-Unis, le secteur financier du Venezuela, une entreprise de logiciels espagnole et le secteur de la vente au détail d'Arabie Saoudite.

Exploitation de la vulnérabilité 0-Day de Windows

"Les acteurs de menace de ransomware valorisent les exploits d'élévation de privilèges post-compromission car ils pourraient leur permettre de transformer un accès initial en un accès privilégié", a déclaré Microsoft dans son avis de sécurité.

La vulnérabilité, qui a reçu un score CVSS de 7.8 (Élevé), a été corrigée dans le cadre des mises à jour du Patch Tuesday d'avril 2025 de Microsoft, qui ont corrigé un total de 121 vulnérabilités.

L'analyse technique a révélé que l'exploitation impliquait une chaîne d'attaque sophistiquée. La vulnérabilité réside dans le pilote kernel CLFS et permet aux attaquants d'exploiter une condition d'utilisation après libération (use-after-free). Lors de l'exécution de l'exploit, les attaquants ont créé des fichiers dans le chemin C:\ProgramData\SkyPDF, y compris une DLL qui a été injectée dans le processus winlogon.exe.

Cela leur a permis d'extraire des identifiants de la mémoire LSASS à l'aide d'outils comme Sysinternals procdump.exe, de créer de nouveaux utilisateurs administrateurs et d'établir une persistance.

Le groupe de ransomware Play, actif depuis juin 2022, est connu pour déployer des tactiques de double extorsion, où des données sensibles sont exfiltrées avant le chiffrement.

Le groupe a précédemment développé des outils personnalisés comme Grixba, qui ont été déguisés en logiciels de sécurité légitimes, y compris de fausses applications SentinelOne et Palo Alto Networks.

Des chercheurs ont noté que, bien que les acteurs de ransomware utilisent rarement des vulnérabilités zero-day, cela signale une escalade de leurs capacités.

Il est fortement conseillé aux organisations d'appliquer les mises à jour de sécurité publiées le 8 avril 2025, en particulier pour les systèmes exécutant des versions vulnérables de Windows.

Microsoft a spécifiquement mentionné que les clients exécutant Windows 11 version 24H2 ne sont pas affectés par cette vulnérabilité en raison des mesures de sécurité déjà en place.

Cet incident souligne l'évolution continue des tactiques de ransomware et l'importance d'un patching rapide, en particulier pour les vulnérabilités qui permettent l'élévation de privilèges, qui sont des composants critiques dans les chaînes d'attaque de ransomware.

Conclusion

Bien qu'aucune charge utile de ransomware n'ait été déployée dans l'incident analysé, l'activité du groupe Play et l'exploitation de cette vulnérabilité zero-day constituent une menace sérieuse. L'utilisation d'outils personnalisés comme Grixba et les tentatives d'établissement de persistance démontrent la détermination de ces acteurs à compromettre durablement les systèmes ciblés. Cet événement doit inciter les organisations à renforcer leur posture de sécurité, à sensibiliser leurs employés aux risques et à surveiller activement leurs infrastructures pour détecter toute activité anormale, en gardant à l'esprit l'évolution constante des tactiques des groupes de ransomware.

#windows #zeroday #hack #cybersecurity 

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Analyse technique du VLAN Hopping : Switch Spoofing et Double Tagging

Image
Connaissez-vous cette menace qui pèse sur votre réseau ? Les réseaux locaux virtuels (VLAN) sont une technologie essentielle pour segmenter les réseaux et améliorer la sécurité. Cependant, une faille de sécurité connue sous le nom de VLAN hopping peut compromettre cette segmentation. Cette attaque permet à un attaquant situé dans un VLAN d'accéder à des ressources et des informations appartenant à d'autres VLAN, potentiellement critiques. Cet article examine les vulnérabilités qui rendent possible le VLAN hopping et propose des solutions pour renforcer la sécurité des réseaux. Imaginez un immeuble avec plusieurs appartements (les VLAN). Normalement, les habitants d'un appartement ne peuvent pas accéder aux autres. Le VLAN Hopping est comme un cambrioleur qui trouve un moyen de passer d'un appartement à l'autre sans autorisation. Le VLAN Hopping, ou "saut de VLAN" en français, est une technique d'attaque informatique qui permet à un attaquant d'accé...
Lire la suite

DNS Spoofing : Tout Ce Que Vous Devez Savoir

Image
Intro Le DNS spoofing, ou usurpation de DNS, est une technique de cyberattaque de plus en plus courante et redoutable. En exploitant les failles du système de noms de domaine (DNS), les cybercriminels peuvent rediriger les utilisateurs vers des sites malveillants sans qu’ils s’en rendent compte. Cela se fait en manipulant les requêtes de résolution de noms de domaine, ce qui permet aux attaquants de rediriger les victimes vers des serveurs compromis . Les conséquences peuvent être graves : vol de données personnelles, compromission de la sécurité en ligne et atteinte à la confidentialité des utilisateurs. Dans cet article, nous allons explorer en détail ce qu’est le DNS spoofing, les différentes méthodes utilisées par les attaquants, les risques pour les entreprises et les particuliers, et surtout, les meilleures pratiques pour se protéger contre cette menace insidieuse.  Méthodes utilisées pour faire la compromission d'une infra avec DNSSPOOFING Pour comprendre comment le DNS spo...
Lire la suite

InverseHacker: Votre boîte à outils ultime pour les tests de pénétration

Image
Inversehacker Fatigué de passer des heures à chercher des vulnérabilités dans des applications web complexes, j'ai décidé de créer un outil qui simplifierait cette tâche. InverseHacker est né de cette frustration. En automatisant de nombreuses tâches récurrentes et en fournissant un environnement de travail intuitif, InverseHacker permet aux chercheurs en sécurité de gagner un temps précieux et de se concentrer sur les aspects les plus créatifs de leur travail. Grâce à InverseHacker, nous pouvons renforcer la sécurité numérique et protéger les entreprises contre les cyberattaques Un toolkit bugbounty concis pour le hackeur Le bug bounty est une pratique qui consiste à rémunérer des personnes pour la découverte et la divulgation de vulnérabilités de sécurité dans des logiciels ou des services. Le pentest, ou test d'intrusion, est une activité similaire qui consiste à tester la sécurité d'un système informatique ou d'un réseau. Pour mener à bien ces activités, les pentest...
Lire la suite