Microsoft ferme les exploits Zero-Day utilisés dans le kit d’espionnage du gouvernement
Microsoft a révélé qu'une série de correctifs de sécurité récents ont été conçus pour empêcher la vente de deux exploits zero-day dans le cadre d'un kit d'espionnage à des gouvernements autoritaires et à des agences d'espionnage du monde entier.
Le kit d'espionnage, prétendument vendu par l'agence de sécurité israélienne Candiru, a été utilisé pour cibler des politiciens, des journalistes, des défenseurs des droits de l'homme, des universitaires, des dissidents, etc., faisant au moins 100 victimes. Alors que 100 est un chiffre relativement bas par rapport à d'autres failles de sécurité ou attaques majeures, le kit d'espionnage est un outil très avancé utilisé pour cibler des individus.
En tant que telles, les victimes de ce kit et des exploits zero-day sont probablement des personnes de premier plan disposant d'informations précieuses sur des sujets potentiellement sismiques.
Microsoft travaille avec Citizen Lab pour éliminer les exploits
Le blog officiel de Microsoft Security confirme la découverte d'un « acteur offensif du secteur privé » en possession de deux exploits zero-day Windows ( CVE-2021-31979 et CVE-2021-33771 ).
Microsoft a surnommé l'acteur de la menace SOURGUM, notant que l'équipe de sécurité de Microsoft pense qu'il s'agit d'une entreprise israélienne du secteur privé vendant des outils de cybersécurité aux agences gouvernementales du monde entier. En collaboration avec Citizen Lab, le laboratoire de surveillance des réseaux et des droits de l'homme de l'Université de Toronto, Microsoft pense que le kit de logiciels malveillants et d'exploitation utilisé par SOURGUM a "ciblé plus de 100 victimes dans le monde".
Le rapport de Citizen Lab sur les exploits nomme explicitement Candiru, « une société secrète basée en Israël qui vend des logiciels espions exclusivement aux gouvernements ». Le logiciel espion développé par Candiru « peut infecter et surveiller les iPhones, les Android, les Mac, les PC et les comptes cloud ».
L'équipe de sécurité de Microsoft a observé des victimes en Palestine, en Israël, en Iran, au Liban, au Yémen, en Espagne, au Royaume-Uni, en Turquie, en Arménie et à Singapour, avec de nombreuses victimes opérant dans des zones, des rôles ou des organisations sensibles. Les clients de Candiru signalés comprennent l'Ouzbékistan, l'Arabie saoudite et les Émirats arabes unis, Singapour et le Qatar, avec d'autres ventes signalées en Europe, dans les pays de l'ex-Union soviétique, dans le golfe Persique, en Asie et en Amérique latine.
Les correctifs de sécurité éliminent les exploits Zero-Day
Un exploit zero-day est une vulnérabilité de sécurité inédite qu'un attaquant utilise pour violer un site, un service ou autre. Comme les entreprises de sécurité et de technologie ignorent son existence, il reste non corrigé et vulnérable.
Dans ce cas, la société israélienne prétendument à l'origine du développement du kit d'espionnage a utilisé deux exploits zero-day pour accéder à des produits auparavant sécurisés, intégrés dans une variante de malware unique appelée DevilsTongue.
Bien que les attaques de cette nature soient inquiétantes, il s'agit souvent d'opérations très ciblées qui n'affectent généralement pas les utilisateurs réguliers. De plus, Microsoft a maintenant corrigé les exploits zero-day utilisés par le malware DevilsTongue, rendant cette variante particulière inutile. Les correctifs ont été publiés dans le Patch Tuesday de juillet 2021, qui a été diffusé en direct le 6 juillet.