Microsoft arrête les exploits Zero-Day utilisés dans le kit d'espionnage du gouvernement

Microsoft a révélé qu'une série de correctifs de sécurité récents ont été conçus pour arrêter deux zero-day exploits vendus dans le cadre d'un kit d'espionnage à des gouvernements autoritaires et à des agences d'espionnage à l'échelle mondiale.

Le kit d'espionnage, prétendument vendu par l'agence de sécurité israélienne Candiru, a été utilisé pour cibler politiciens, journalistes, défenseurs des droits humains, universitaires, dissidents, et plus, avec au moins 100 victimes. Alors que 100 est un chiffre relativement bas par rapport à d'autres failles de sécurité ou attaques majeures, le kit d'espionnage est un outil très avancé utilisé pour cibler des individus.

En tant que telles, les victimes de ce kit et des exploits zero-day sont probablement des personnes de premier plan disposant d'informations précieuses sur des sujets potentiellement sismiques.

Microsoft travaille avec Citizen Lab pour éliminer les exploits

L'officiel Blog sur la sécurité Microsoft confirme la découverte d'un "acteur offensif du secteur privé" en possession de deux exploits Windows zero-day (

CVE-2021-31979 et CVE-2021-33771).

Microsoft a surnommé l'acteur de la menace SOURGUM, notant que l'équipe de sécurité de Microsoft pense qu'il s'agit d'une entreprise israélienne du secteur privé vendant des outils de cybersécurité aux agences gouvernementales du monde entier. En collaboration avec Citizen Lab, le laboratoire de surveillance du réseau et des droits de la personne de l'Université de Toronto, Microsoft pense que le kit de malware et d'exploit utilisé par SOURGUM a "ciblé plus de 100 victimes dans le monde."

En rapport: Comprendre les logiciels malveillants: les types courants que vous devez connaître

Citoyen Lab's rapport sur les exploits nomme explicitement Candiru, « une société secrète basée en Israël qui vend des logiciels espions exclusivement à gouvernements." Le logiciel espion développé par Candiru "peut infecter et surveiller les iPhones, les Android, les Mac, les PC et les comptes cloud".

L'équipe de sécurité de Microsoft a observé des victimes en Palestine, en Israël, en Iran, au Liban, au Yémen, en Espagne, aux États-Unis Royaume-Uni, Turquie, Arménie et Singapour, avec de nombreuses victimes opérant dans des zones, des rôles ou des organisations. Les clients de Candiru signalés comprennent l'Ouzbékistan, l'Arabie saoudite et les Émirats arabes unis, Singapour et le Qatar, avec d'autres ventes signalées en Europe, dans les pays de l'ex-Union soviétique, dans le golfe Persique, en Asie et en Amérique latine.

Les correctifs de sécurité éliminent les exploits Zero-Day

Un exploit zero-day est une vulnérabilité de sécurité inédite qu'un attaquant utilise pour violer un site, un service ou autre. Comme les entreprises de sécurité et de technologie ignorent son existence, il reste non corrigé et vulnérable.

Dans ce cas, la société israélienne prétendument à l'origine du développement du kit d'espionnage a utilisé deux exploits pour accéder à des produits auparavant sécurisés, intégrés dans une variante de malware unique appelée DevilsLangue.

Bien que les attaques de cette nature soient inquiétantes, il s'agit souvent d'opérations très ciblées qui n'affectent généralement pas les utilisateurs réguliers. De plus, Microsoft a maintenant corrigé les exploits zero-day utilisés par le malware DevilsTongue, rendant cette variante particulière inutile. Les correctifs ont été publiés dans le Patch Tuesday de juillet 2021, qui a été diffusé en direct le 6 juillet.

Microsoft demande aux utilisateurs de désactiver la mise en file d'attente de l'imprimante pour se protéger contre l'exploit Zero-Day

Le zero-day PrintNightmare est activement exploité.

Lire la suite

A propos de l'auteur

Développer pour lire l'histoire complète