La dernière vulnérabilité inédite de Windows fait le bonheur d’APT 28

Le célèbre groupe de cybercriminels APT 28, aussi appelé Pawn Storm, Fancy Bear, Sofacy et Strontium, semble se régaler, depuis la fin octobre, avec une vulnérabilité inédite du noyau de Windows, découverte et révélée par les équipes de Google avant que Microsoft ne diffuse un correctif, la semaine dernière.

C’est du moins ce qu’affirment les chercheurs Feike Hacquebord et Stephen Hilt de Trend Micro. Dans un billet de blog, ils expliquent qu’APT 28 a exploité, dès la fin octobre, deux vulnérabilités inédites, l’une affectant Flash et l’autre Windows, pour des campagnes de hameçonnage ciblé. Mais la première a été rapidement corrigée avec une rustine d’urgence émise par Adobe. Depuis, il semble que le groupe « dévalué les deux vulnérabilités inédites dans son portefeuille d’outils d’attaque. Au lieu de les utiliser contre des cibles de haute valeur, il a commencé à exposer plus de cibles à des vulnérabilités ». Et les chercheurs d’ajouter que « début novembre, Pawn Storm a envoyé des e-mails de fishing ciblé à plusieurs gouvernements à travers le monde ». De quoi confirmer les observations de Microsoft.

Google a dévoilé les vulnérabilités en question le 21 octobre. Adobe a commencé à distribué son correctif cinq jours plus tard. Microsoft a attendu le 8 novembre. Normalement, Google laisse 60 jours aux éditeurs pour corriger les vulnérabilités qu’il découvre. Mais là, il s’est limité à 10 jours en constatant que les vulnérabilités en question étaient déjà exploitées, celle concernant de Windows étant selon lui critique. Un point de désaccord avec Microsoft.

Ce dernier a non seulement souligné préférer « une divulgation coordonnée de vulnérabilité », mais également contester la qualification de « critique » et de « particulièrement sérieuses » affectée par Google à la vulnérabilité. Celle-ci permet une élévation de privilèges mais, selon Microsoft, « le scénario d’attaque décrit est pleinement contenu par le déploiement de la mise à jour de Flash » proposée par Adobe. En outre, selon l’éditeur, « cette attaque spécifique n’a jamais été effective sur Windows 10 Anniversary Update en raison des améliorations de sécurité préalablement mises en œuvre ».

Il n’en reste pas moins pour certains experts, comme John Bambenek, de Fidelis Cybersecurity, que révéler publiquement une vulnérabilité activement exploitée peut constituer une avancée importante pour protéger les utilisateurs : « une fois que les attaquants commencent à utiliser les vulnérabilités, le risque se déplace » et il n’est plus question de chercher à éviter de leur donner des idées…