Barometer
Indicateurs de compromission (IOCs) identifiés
Rapports de compromission identifiés (regroupement d’IoCs)
ECLAIRAGE DU MOIS
Au début du mois de Décembre 2022, Microsoft mettait à disposition son dernier lot de mise à jour pour 2022. Parmi les divers correctifs se trouvait celui pour la vulnérabilité avec l’identifiant CVE-2022-44698 dont la description indique “Bypass de la fonctionnalité de sécurité Windows SmartScreen” et ayant un score CVSSv3 de 5.4 (Medium).
Afin de comprendre l’intérêt de cette vulnérabilité du point de vue d’un auteur de la menace, il est nécessaire de rappeler certains points : SmartScreen, en premier lieu, est une fonctionnalité de Windows qui a pour objectif d’alerter un utilisateur dans le cas où ce dernier visite un site potentiellement malicieux, ou télécharge un fichier n’étant pas de confiance. Parmi les critères utilisés nous retrouverons la “Mark-of-the-Web” (motw) qui fait l’objet d’une définition détaillée ce mois-ci.
La vulnérabilité dont il est ici question permet donc d’outrepasser les protections mises en place par Windows SmartScreen sans autre prérequis que de faire interagir un utilisateur avec un site malicieux. L’objectif du point de vue d’un attaquant est bien évidemment de ne pas alerter une potentielle victime sur la dangerosité de son action.
Cette vulnérabilité a été ajouté le 1er janvier par le CISA (Cybersecurity & Infrastructure Security Agency) à sa liste des vulnérabilités activement exploitées. L’exploitation de la CVE-2022-44698 avait été constatée dès le mois d’octobre 2022 lors d’une campagne de phishing ayant pour but la distribution du ransomware Magniber. Plus récemment le mois dernier, une campagne de distribution de QBot a été identifiée utilisant également cette technique.
Ces évènements sont l’occasion de rappeler que le score d’une vulnérabilité n’est qu’un indicateur à utiliser à bon escient, et que cela ne détermine en rien les conséquences de l’exploitation de celle-ci.
TOP
TOP
DÉFINITION DU MOIS
La Mark-of-the-Web est un code associé à tout fichier téléchargé depuis Internet à des fins de sécurité sous Windows. Il ne s’agit pas d’un code présent directement dans le fichier mais plutôt d’un flux de données (Alternate Data Stream) qui lui est associé dans le système de fichiers de Windows (NTFS). De ce fait, l’intégrité du fichier n’est pas affectée, donc le même fichier, qu’il provienne d’Internet ou pas, présente la même somme de contrôle. L’idée derrière cette marque est d’indiquer à l’application qui ouvre le fichier qu’il provient d’Internet, potentiellement d’une source non sûre.
À l’origine, le navigateur Internet Explorer ajoutait le commentaire `<!-–saved from url=>` au début des pages web sauvegardées. Cela permet maintenant notamment aux navigateurs d’empêcher l’exécution de scripts ou d’applets Java lors de leur ouverture. Cette pratique s’est désormais étendue aux fichiers.
Plus en lien avec l’actualité, les applications Microsoft bloquent désormais l’exécution des macros de fichiers Office téléchargés depuis Internet, souvent utilisés par les cybercriminels comme vecteur d’attaque, un aspect déjà évoqué dans notre baromètre de septembre dernier.
TOP
TOP
A PROPOS DU CYBER THREATS BAROMETER
Malwares, vulnérabilités zero-day, attaques persistantes avancées, industries et secteurs particulièrement visés, signaux faibles de menaces émergentes…Ce n’est un secret pour personne, la connaissance de son adversaire est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.rnrnLes moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de trois milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.