STOCKYE STUDIO - stock.adobe.com

Actualites

Ransomware : quand un affidé de Play exploitait une vulnérabilité inédite de Windows

Un acteur malveillant officiant sous la bannière de la franchise mafieuse Play a exploité une vulnérabilité d’élévation de privilèges de Windows avant qu’elle ne soit rendue publique et corrigée, début avril.

Valéry Rieß-Marchive
par
Publié le: 07 mai 2025

C’est le 8 avril que Microsoft lève le voile sur la vulnérabilité référencée CVE-2025-29824. Exploitable uniquement localement, sur une machine Windows affectée, elle permet à un attaquant d’y élever ses privilèges, au plus haut niveau. Elle a été corrigée à l’occasion du Patch Tuesday de début du mois dernier, dans la foulée de sa divulgation publique. 

La note d’information de Microsoft faisait mention d’une exploitation observée, avant même cette date, au stade, donc, de 0day. Les équipes de Symantec (Broadcom) l’ont constaté.

Dans un billet de blog, elles expliquent que leur constatation est survenue dans le cadre d’une tentative de cyberattaque contre une entité aux États-Unis, avant le 8 avril. Aucun rançongiciel n’a été déployé à cette occasion. Mais il s’en est vraisemblablement fallu de peu.

Car les équipes de Symantec indiquent que les attaquants ont « déployé le cleptogiciel [ou infostealer, N.D.L.R.] Gixba, un outil à façon associé à Balloonfly ». Le groupe de cybercriminels aux manettes de l’opération de ransomware Play. L’intrusion initiale semble être passée par un pare-feu Cisco ASA. 

L’enseigne Play, ce sont plus de 870 victimes connues à travers le monde à ce jour. Le plus ancien échantillon connu de la marque de rançongiciel date de juin 2022. 

Mais Symantec suggère que le code exploitation a pu obtenu par de multiples acteurs avant le 8 avril, par seulement ceux officiant sous la bannière de Play : « en corrigeant la vulnérabilité, Microsoft a indiqué qu'elle avait été exploitée contre un “petit nombre de cibles”, notamment des organisations aux États-Unis, au Venezuela, en Espagne et en Arabie saoudite ». 

En outre, Microsoft a indiqué que l'exploit avait été déployé par le logiciel malveillant PipeMagic, qui est souvent utilisé par un groupe suivi sous la référence Storm-2460 pour déployer des rançongiciels. Mais ce dernier utilise des techniques différentes et ne semble ainsi pas lié à Balloonfly.

Hasard du calendrier, le 8 avril dernier, un acteur malveillant adepte du ransomware nous a confié avoir obtenu et testé avec un succès le code d’exploitation pour une vulnérabilité Windows inédite.

Pour approfondir sur Menaces, Ransomwares, DDoS