Un nouveau rançongiciel découvert par Kaspersky exploite plusieurs vulnérabilités connues d'Oracle Weblogic

En avril dernier, la société de sécurité Kaspersky a détecté la présence d'un nouveau rançongiciel visant spécifiquement les services d'infogérance (Managed Service Provider ou MSP). Les services d'infogérance permettent, généralement à un prestataire, de gérer tout ou partie d'un système d'information de manière externalisée.

Ce type de logiciel malveillant (également appelé cryptovirus) vise à chiffrer les données de la victime, les rendant inaccessibles sans la clef de déchiffrement, cette dernière étant remise en l'échange d'une somme d'argent.

Ce rançongiciel baptisé Sodin, également identifié par certains éditeurs sous les noms de Sodinokibi et REvil, exploite une vulnérabilité Oracle Weblogic pour compromettre les machines de ses victimes (CVE-2019-2725). Le rançongiciel utilise des commandes PowerShell pour télécharger et exécuter les fichiers malveillants. Sodin est conçu pour attribuer une extension alphanumérique unique aux fichiers chiffrés sur chaque système compromis.

Le logiciel malveillant est proposé sous forme de rançongiciel avec des services associés (Ransomware As A Service) permettant ainsi aux attaquants de sélectionner plusieurs vulnérabilités pour infecter les postes de ses victimes.

Sodin exploite également une nouvelle vulnérabilité Windows permettant à un attaquant d'élever ses privilèges (CVE-2018-8453).

Dans les attaques visant des services infogérés (MSP), Sodin s’installe sur les machines des utilisateurs de différentes manières :

Dans la première hypothèse, les attaquants utilisent les consoles d'accès distant Webroot et Kaseya pour installer le logiciel malveillant (voir l'article en anglais de Dark Reading à ce sujet) ;
Dans une seconde hypothèse, les attaquants pénètrent l'infrastructure MSP en utilisant une connexion RDP (Remote Desktop Protocol – Protocole de connexion à distance sur Windows) bénéficiant de privilèges élevés. Des solutions de sécurité et des sauvegardes sont désactivées par l'attaquant, avant de téléverser les cryptovirus sur les ordinateurs victimes.

Détails techniques :

Le rançongiciel se propage par l'exploitation de plusieurs vulnérabilités connues :

CVE-2019-2725 [CVSS v3 9.8] : Pour diffuser le cryptovirus par le biais de WebLogic, les attaquants ont utilisé cette vulnérabilité afin d’exécuter une commande PowerShell sur un serveur vulnérable Oracle WebLogic. Les attaquants ont alors pu téléverser le rançongiciel Sodin. Des correctifs pour ce bogue ont été publiés en avril, mais une vulnérabilité similaire a été découverte à la fin juin 2019 sous le numéro CVE-2019-2729 [CVSS v3 9.8]
CVE-2018-8453 [CVSS v3 7.8] : Pour élever les privilèges de l'attaquant, Trojan-Ransom.Win32.Win32.Sodin utilise une vulnérabilité présente dans win32k.sys (module Windows permettant de réaliser des appels systèmes en mode noyau). Les premières tentatives d'exploitation ont été détectées par les outils de Kaspersky (Automatic Exploit Prevention, AEP) en août 2018. Après l'exécution de la charge malveillante, l’attaquant acquiert le plus haut niveau de privilège possible sur la machine cible.