Microsoft met en garde contre une faille de type « 0-day » au sein du composant win32k.sys, et qui est activement exploitée.
Cette faille de sécurité, référencée CVE-2018-8453, a été corrigée lors du dernier Patch Tuesday et permettait a un attaquant d’élever ses privilèges.
Le code d’exploitation, analysé par l’équipe Kaspersky Lab, était exécuté comme première étape d’un installeur de malware afin de gagner les privilèges nécessaires à le rendre persistant. De plus, ce code a été programmé de façon à ce qu’il soit capable de cibler plusieurs systèmes d’exploitation Windows.
Selon Kaspersky Lab, l’équipe de pirates baptisée « FruityArmor », basée au Moyen-Orient, serait responsable de cette attaque. Les victimes seraient elles aussi localisées au Moyen-Orient. La distribution de l’attaque semble très ciblée, affectant moins d’une douzaine de victimes.
Ce serait la seconde fois que l’APT FruityArmor utilise des failles de type « 0-day » afin de distribuer des malwares. L’attaque étant très limitée à ce jour, il est difficile d’en connaitre les motivations.