Scattered Spider exploite une vulnérabilité Windows datant de 2015
![Image Naviguer dans les eaux troubles du monde digital : [l’impératif du Zero Trust]](https://incyber.org//wp-content/uploads/2024/03/incyber-news-datacenter-cybersecurite-cybersecurity-885x690.jpg)
![Image [Intelligence artificielle :] quelles sont les 5 grandes cybermenaces pour 2024 ?](https://incyber.org//wp-content/uploads/2024/03/incyber-news-artifical-intelligence-cybersecurite-cybersecurity-885x690.jpg)
![Image Jean-Jacques Latour : « On identifie pas à ce jour de [menace nouvelle] qui serait liée à l’intelligence artificielle »](https://incyber.org//wp-content/uploads/2024/03/incyber-news-threat-cybersecurite-cybersecurity-885x690.jpg)
Selon Crowdstrike, le groupe cybercriminel utilise la technique « Bring Your Own Vulnerable Driver » contre les systèmes non-corrigés
Crowdstrike a fait le point, dans une note de blog du 10 janvier 2023, sur les attaques menées récemment par le groupe Scattered Spider. Ces cybercriminels exploitent notamment une vulnérabilité de Windows, répertoriée CVE-2015-2291. Cette faille date certes de 2015, mais de nombreux systèmes utilisent toujours une version de Windows où elle n’a pas été corrigée.
Connu aussi sous les noms de Roasted 0ktapus et UNC3944, Scattered Spider vise les secteurs des télécoms et de l’externalisation des activités. Ses motivations sont financières. Le groupe récupère des accès à des SI par un mélange de phishing et d’ingénierie sociale. Il utilise ensuite un large éventail d’outils légitimes de gestion à distance pour garder le contrôle sur le système infecté.
La vulnérabilité est située dans le pilote de diagnostic Intel Ethernet pour Windows. Cette faille permet depuis 2015 à des cybercriminels d’utiliser la technique dite « Bring Your Own Vulnerable Driver » (BYOVD).
Par défaut, Windows n’autorise en effet pas l’exécution en mode noyau de pilotes non signés. Mais BYOVD « permet à un attaquant disposant d’un contrôle administratif de contourner facilement les protections du noyau de Windows, ce qui lui permet d’installer un pilote légitimement signé mais malveillant pour exécuter une attaque », précise Crowdstrike.
Cette signature légitime d’un pilote malveillant a pu être obtenue par plusieurs techniques (certificats volés ou auto-signés par les cybercriminels). Elle permet ensuite aux attaquants d’installer et d’exécuter secrètement leurs propres pilotes. Ils peuvent alors désactiver les outils de cybersécurité et ainsi dissimuler leurs activités.
Dans la note de blog, on peut lire la description dune attaque où Scattered Spider visait l’outil Falcon de Crowdstrike. Ce dernier est parvenu à détecter la manœuvre et à déjouer l’intrusion. Scattered Spider a tenté ces derniers mois de contourner d’autres outils de cybersécurité par des techniques similaires. Les chercheurs citent notamment Microsoft Defender for Endpoint, Cortex XDR et SentinelOne.