Comment les pirates informatiques utilisent le logiciel malveillant Msupedge pour infiltrer les réseaux Windows via un exploit PHP
Dans le cadre d'une récente vague de cybermenaces, une porte dérobée récemment découverte, appelée Msupedge, est activement déployée par des pirates informatiques pour compromettre les systèmes Windows. Ce malware sophistiqué a été identifié pour la première fois sur le réseau d'une université à Taiwan et exploiterait une vulnérabilité PHP critique, CVE-2024-4577, pour obtenir un accès non autorisé et exécuter du code arbitraire.
Table of Contents
La vulnérabilité au cœur
CVE-2024-4577 est une faille grave dans le mode PHP-CGI (Common Gateway Interface) sur les systèmes Windows, corrigée en juin 2024. Cette vulnérabilité permet aux attaquants d'injecter des arguments et d'exécuter du code arbitraire à distance. La faille est particulièrement préoccupante car elle affecte les installations PHP exécutées en mode CGI, ce qui en fait un problème à haut risque pour les systèmes qui n'ont pas encore appliqué le correctif. L'exploitation de cette vulnérabilité peut conduire à une compromission complète du système, permettant aux attaquants de prendre le contrôle total de la machine ciblée.
Msupedge : un nouveau type de malware
La porte dérobée Msupedge est particulièrement remarquable pour son utilisation du trafic DNS pour communiquer avec son serveur de commande et de contrôle (C&C), une technique qui, bien que pas nouvelle, est rarement vue dans la nature. Cette méthode, connue sous le nom de tunneling DNS, exploite l'outil dnscat2 pour encapsuler les données dans les requêtes et réponses DNS, permettant ainsi au malware de recevoir des commandes des attaquants de manière secrète.
Une fois à l'intérieur du système, Msupedge peut exécuter une série de commandes, déclenchées par des adresses IP spécifiques associées à son serveur C&C. Ces commandes incluent la création de processus, le téléchargement de fichiers et la gestion de fichiers temporaires, offrant ainsi aux attaquants un outil polyvalent pour contrôler et manipuler le système compromis.
L'attaque en action
Selon l'équipe Threat Hunter de Symantec, qui a enquêté sur l'incident, l'intrusion initiale dans le réseau de l'université taïwanaise s'est probablement produite grâce à l'exploitation de la vulnérabilité CVE-2024-4577. Les attaquants ont déployé le malware Msupedge sous la forme de deux bibliothèques de liens dynamiques (DLL), weblog.dll et wmiclnt.dll, la première étant chargée par le processus Apache httpd.exe.
Cette attaque rappelle des incidents antérieurs au cours desquels des vulnérabilités PHP similaires ont été exploitées, comme la faille CVE-2012-1823, qui a été utilisée des années après son correctif pour propager le malware RubyMiner. La persistance de telles vulnérabilités souligne l'importance d'une mise à jour rapide des correctifs et les risques permanents associés aux systèmes hérités et aux logiciels non corrigés.
Le paysage plus large des menaces
La découverte de Msupedge intervient dans le cadre d'une tendance plus large des acteurs malveillants à cibler de plus en plus rapidement les vulnérabilités nouvellement découvertes. Un jour seulement après que les responsables de PHP ont publié le correctif pour CVE-2024-4577, les chercheurs en sécurité ont observé des tentatives d'exploitation généralisées, notamment par le célèbre gang de ransomware TellYouThePass.
Ces efforts d'exploitation rapides soulignent l'urgence pour les entreprises d'appliquer les correctifs de sécurité dès qu'ils sont disponibles. Les retards dans la mise en place des correctifs peuvent ouvrir la porte à des attaques telles que celles impliquant Msupedge, qui peuvent avoir des conséquences dévastatrices pour les systèmes compromis.
L’émergence de Msupedge nous rappelle avec force l’évolution des tactiques utilisées par les cybercriminels pour infiltrer les systèmes et échapper à la détection. En exploitant le tunneling DNS et les vulnérabilités critiques, les attaquants continuent d’affiner leurs méthodes, ce qui rend de plus en plus difficile la protection des réseaux par les défenseurs. Les entreprises doivent rester vigilantes, appliquer rapidement les correctifs et employer des techniques avancées de détection des menaces pour garder une longueur d’avance sur ces menaces émergentes.
