Les pirates informatiques ont utilisé une erreur Microsoft il y a 9 ans


L’utilisation la plus courante Le malware ZLoader se développe dans tous les types d’attaques, des tentatives de vol de mots de passe bancaires et d’autres informations confidentielles à ransomware attaque. Maintenant, la campagne ZLoader, qui a commencé en novembre, a infecté quelque 2 200 personnes dans 111 pays à cause d’une erreur Windows commise par Microsoft. stable de retour en 2013.

Obera a utilisé un certain nombre de méthodes pour échapper à Zloader des appareils criminels précédents. Pour cette raison, selon la société de sécurité Check Point, les attaquants ont profité de l’occasion pour vérifier la signature de Microsoft, une vérification confirmant que le fichier était valide et digne de confiance. Premièrement, ils incitent les victimes à configurer un appareil informatique distant légitime appelé Atera afin d’accéder à des armes et de les perfectionner ; cette partie n’est pas une surprise ou un livre. À partir de là, les pirates devaient toujours installer ZLoader sans Windows Defender ou autre scanner de logiciels malveillants pour le détecter ou le désactiver.

C’est là que l’erreur d’une dizaine d’années a aidé. Les terroristes peuvent modifier le fichier officiel « Bibliothèque de liens dynamiques » – un fichier bien connu qui est partagé entre plusieurs programmes pour coder – pour installer des logiciels malveillants. Le fichier DLL que vous voulez a été signé par Microsoft, ce qui le prouve. Mais les attaquants ont réussi à mettre un mauvais script sur le fichier sans toucher au tampon officiel de Microsoft.

« Quand vous voyez un fichier sous la forme d’une DLL signée, vous êtes sûr de pouvoir lui faire confiance, mais cela montre que ce n’est pas toujours le cas », déclare Kobi Eisenkraft, un enquêteur du renseignement criminel chez Check Point. “Je pense que nous verrons plus de cette approche révolutionnaire.”

Microsoft appelle sa méthode de signature « Authenticode ». Il a publié l’édition en 2013 qui a rendu la signature Authenticode certifiée solide, plaçant des fichiers qui ont été subtilement modifiés de cette manière. Initialement, la fonctionnalité a été déployée pour tous les utilisateurs de Windows, mais en juillet 2014, Microsoft a repensé son système, rendant les changements impossibles.

« Alors que nous travaillions avec les clients pour faire face à ce changement, nous étions convaincus que l’impact des programmes existants pourrait être important », a déclaré la société. il a écrit en 2014, ce qui signifie que la réparation provoque des faux positifs lorsque les fichiers officiels se sont révélés malveillants. “En conséquence, Microsoft n’est plus prêt à appliquer la vérification authentique comme requis. Les exigences pour une authentification robuste restent cependant en place et peuvent être personnalisées à la discrétion du client.”

Dans un communiqué publié mercredi, Microsoft a souligné que les utilisateurs peuvent se protéger et réparer l’entreprise qui a été lancée en 2013. Et l’entreprise a déclaré que, comme l’ont noté les chercheurs de Check Point dans la campagne ZLoader, le risque pourrait être exploité si l’appareil était déjà disponible. corrompus ou les pirates incitent les gens à utiliser l’un des fichiers modifiés qui semblent être signés. “Les clients qui utilisent les mises à jour et ajustent la configuration indiquée dans la technologie de sécurité seront protégés”, a déclaré un porte-parole de Microsoft à WIRED.

Mais lorsque la réparation est disponible, et ce depuis longtemps, la plupart des outils Windows ne l’ont pas, car les utilisateurs et les administrateurs système doivent être informés du correctif plus tard. choisir de l’installer. Microsoft a également annoncé en 2013 que la menace était exploitée par des escrocs dans le cadre de “contre-mesures”.



Source link

Leave a Reply

Your email address will not be published.