Microsoft a sorti son Patch Tuesday, qui corrige 81 vulnérabilités dont quatre zero-day.
Parmi ces zero-day, l'une est activement exploitée par un groupe de hackers chinois pour des opérations d’espionnage.
Une zero-day exploitée pour des opérations d'espionnage
Pour ce Patch Tuesday d’octobre, Microsoft a corrigé pas moins de 81 vulnérabilités. Parmi elles, une zero-day activement exploitée par un groupe de hackers chinois, ainsi que l'ont découvert les chercheurs en sécurité de Kaspersky. Désignée comme étant la CVE-2021-40449, elle est présente dans Win32k et est désignée par Microsoft comme une vulnérabilité de type « élévation de privilège ».
Elle est utilisée par le groupe de hackers, identifié comme « IronHusky », pour déployer un RAT (Remote Access Trojan) avec des privilèges élevés. Ce malware, nommé « MysterySnail » par Kaspersky, permet aux attaquants de réaliser plusieurs opérations à distance sur les machines infectées, comme exfiltrer des informations qui sont par la suite envoyées à un serveur de commande et contrôle, créer, lire et supprimer des fichiers spécifiques, créer ou arrêter des processus, lancer un serveur proxy et ouvrir des invites de commande.
Si la vulnérabilité est également présente sur les versions de bureau de Windows, elle est utilisée par IronHusky pour attaquer des serveurs lors d'opérations d'espionnage à grande échelle. Les cibles sont des entreprises informatiques ou spécialisées dans la défense et des entités diplomatiques.
Trois vulnérabilités critiques corrigées
Trois autres failles zero-day, non exploitées cette fois mais dévoilées publiquement, ont été corrigées. Il s'agit de la CVE-2021-40469, une vulnérabilité de type exécution de code à distance présente lorsqu'un serveur Windows est configuré pour être un serveur DNS, la CVE-2021-41335, une vulnérabilité de type élévation de privilèges dans le kernel de Windows et enfin la CVE-2021-41338, un bug du pare-feu Windows qui permet à des attaquants de contourner les restrictions d'AppContainer.
Parmi les autres vulnérabilités corrigées, trois sont considérées comme critiques, et concernent Word et Hyper-V. La CVE-2021-40486 est une vulnérabilité d'exécution de code à distance présente dans Word et la CVE-2021-40461 et la CVE-2021-38672 sont deux vulnérabilités d'exécution de code à distance présentes dans Hyper-V.
Sources : BleepingComputer, Kaspersky