Derniers exploits zero-day

 

 

Derniers exploits et vulnérabilités zero-day

Des mécanismes de défense standard totalement démunis face aux menaces zero-day

Les attaques zero-day exploitent des failles logicielles inconnues, pour lesquelles aucun patch ou correctif n'a encore été publié.

La détection des attaques zero-day s'avère extrêmement difficile, en particulier avec des outils de cyberdéfense traditionnels. En effet, les mesures de sécurité classiques basent l'essentiel de leur action sur les signatures de malwares et la réputation des URL. Or, ces informations sont, par définition, inconnues dans le cas des attaques zero-day. Les cybercriminels les plus habiles mettent au point des malwares capables de passer inaperçus sur des systèmes pendant des mois, voire des années. Ils ont ainsi tout le temps nécessaire pour causer des dommages irréparables.

Les types d'attaques zero-day récemment mis au grand jour ont montré que la protection au niveau du système d'exploitation perd en efficacité, que les attaques dites du point d'eau se généralisent, que les cyberattaques gagnent en sophistication et qu'elles contournent plus aisément les lignes de défense des entreprises.

Derniers exploits et vulnérabilités zero-day

Exploits zero-day de 2017

En 2014, FireEye a révélé cinq exploits zero-day :

  • CVE-2017-8759 – Injection de code dans le parser SOAP WSDLFireEye a récemment détecté un document RTF Microsoft Office exploitant CVE-2017-8759, une vulnérabilité qui permet d’injecter du code dans le parser SOAP WSDL. Cette vulnérabilité permet à un pirate d’injecter arbitrairement du code pendant l’analyse syntaxique des définitions SOAP WSDL.
  • CVE-2017-0261 – Vulnérabilité "restore use-after-free" des fichiers EPSFireEye a détecté une vulnérabilité "restore use-after-free" contenue dans les fichiers EPS de Microsoft Office (CVE-2017-0261). Cette faille a été exploitée par le groupe Turla (malware SHRIME) et un groupe inconnu à motivation financière (malware NETWWIRE).
  • CVE-2017-0262 – Confusion de type dans les fichiers EPSFireEye a pu observer le manière dont le groupe APT28 s'est servi d'une confusion de type dans un fichier EPS Microsoft Office (CVE-2017-0262) pour diffuser un payload GAMEFISH.
  • CVE-2017-0263 – win32k!xxxDestroyWindow use-after-freeLe groupe APT28 s’est servi d’une vulnérabilité "win32k!xxxDestroyWindow use-after-free" (CVE-2017-0263) et de la faille CVE-2017-0262 pour l'escalade de privilèges lors de la diffusion d’un payload GAMEFISH. FireEye a pu disséquer ses méthodes.
  • CVE-2017-0199 : Attaques exploitant le gestionnaire HTAFireEye a détecté des documents RTF Microsoft Office exploitant la vulnérabilité CVE-2017-0199. Cette vulnérabilité permet à un pirate de télécharger et d’exécuter un script Visual Basic contenant des commandes PowerShell lors de l’ouverture d’un document intégrant un exploit.

Exploits zero-day de 2016

Exploits zero-day de 2015

En 2015, FireEye a identifié huit des treize exploits zero-day découverts.

  • CVE-2015-6585 – Processeur Word HangulUn groupe de pirates soupçonnés d’être d’origine nord-coréenne a été observé en train d’exploiter une vulnérabilité du traitement de texte Hangul de l’éditeur sud-coréen Hancom.
  • CVE-2015-2545 MS Office, CVE-2015-2546 MS WindowsAttaque ciblée se servant d’un fichier Microsoft Word pour exploiter des failles de Windows et Microsoft Office.
  • Vulnérabilité zero-day dans Adobe Flash : CVE-2015-3113Découvrez les dessous de la campagne de spear-phishing du groupe APT3 qui redirigeait les victimes vers des serveurs web compromis.
  • CVE-2015-1641Des failles contenues dans Microsoft Office peuvent permettre l’exécution de code à distance.
  • CVE-2015-2424Vulnérabilité zero-day de Microsoft Office (CVE-2015-2424) exploitée par la Tsar Team.
  • CVE-2015-1701Le groupe russe APT28 soupçonné d’une attaque ultra-ciblée basée sur des exploits zero-day d'Adobe sous Windows.
  • CVE-2015-1671Les vulnérabilités des pilotes de polices Microsoft pourraient permettre l'exécution de code à distance.

Exploits zero-day de 2014

En 2014, FireEye a identifié six des douze exploits zero-day découverts durant l'année :

  • CVE-2014-0322Attaque du point d’eau ciblant les utilisateurs d'Internet Explorer 10 qui visitent un site web malveillant.
  • Exploit d'Internet Explorer versions 9 à 11 CVE-2014-1776 Vulnérabilité d'Internet Explorer versions 6 à 11, particulièrement ravageuse pour les utilisateurs des versions 9 à 11, qui permet de contourner les fonctions de sécurité standard et d’accéder arbitrairement à la mémoire.
  • CVE-2014-4148Vulnérabilité du noyau Windows, plus précisément du sous-système de traitement des polices TrueType (TTF) de Microsoft Windows, exploitée au moyen d’un document Microsoft Office incorporant une police TTF malveillante pour cibler une organisation internationale.
  • CVE-2014-4113Une autre vulnérabilité du noyau Windows qui expose Microsoft Windows 7, Windows Vista, Windows XP, Windows 2000, Windows Server 2003/R2 et Windows Server 2008/R2 aux attaques locales d’escalade de privilèges.
  • CVE-2014-0502Exploit zero-day tirant parti d'une vulnérabilité d'Adobe Flash pour sévir sur les dernières versions disponibles de Flash Player (12.0.0.4 et 11.7.700.261).
  • CVE-2014-4114Vulnérabilité zero-day impactant toutes les versions de Microsoft Windows et exploitée par le groupe russe SandWorm lors d’une campagne de cyberespionnage visant l’OTAN, l’Union européenne et les secteurs de l’énergie et des télécoms.

Exploits zero-day de 2013

En 2013, FireEye a identifié onze des quinze exploits zero-day découverts :

  • CVE-2012-4792Code JavaScript malveillant dissimulé sur le site web du think-tank Council on Foreign Relations (CFR) et visant les utilisateurs d'Internet Explorer.
  • CVE-2013-0422Vulnérabilité de Java 7 qui empêche les utilisateurs de Windows d'accéder à leur ordinateur.
  • CVE-2013-0634Code ActionScript malveillant conçu pour lancer une attaque contre les utilisateurs d'Adobe Flash sous Windows, Mac, Linux ou Android.
  • CVE-2013-0640 / CVE-2013-0641Deux vulnérabilités exploitées à l'aide d'un document PDF contenant du code JavaScript dans le but d'installer un outil d'administration à distance et de contourner les fonctions de sécurité ASLR et DEP.
  • CVE-2013-1493Vulnérabilité de Java Runtime Environment qui a permis à des pirates de compromettre la machine virtuelle HotSpot pour prendre le contrôle des systèmes ciblés.
  • CVE-2013-1347Vulnérabilité d'Internet Explorer versions 6 à 8 exploitée pour cibler les utilisateurs de Windows XP visitant le site web du ministère américain du Travail.
  • CVE-2013-3918 / CVE-2014-0266Deux vulnérabilités ActiveX de grande envergure et habilement manipulées pour atteindre les utilisateurs de Windows jusqu'à des versions aussi anciennes que le Service Pack 2.
  • CVE-2013-5065Vulnérabilité de Windows XP et de Windows Server 2003 qui, combinée à d'autres failles, permet à un compte utilisateur standard d'exécuter du code à distance dans le noyau.
  • CVE-2012-4681Un point détaillé sur les vulnérabilités des environnements Java Runtime (JRE 1.7.x).